Cibercriminosos alugam variáveis do botnet Mirai para lançar ataques

Alteração do código Mirai, para liberar e distribuir novas versões da botnet, são relativamente simples, segundo descoberta da Avast


Alguns dos grandes nomes da internet mundial, incluindo Twitter, GitHub, EtsyShopify, Spotify e os jornais The New York Times e Boston Globe, entre outros, ficaram offline durante algumas horas em outubro de 2016 por conta de um ataque DDoS (negação de domínio). Mais tarde, foi descoberto que botnets criados a partir do malware Mirai foram, pelo menos,  parcialmente responsáveis pelo ataque. Desenvolvido com o objetivo de invadir dispositivos de Internet das Coisas (IoT) vulneráveis e usá-los como uma botnet, o malware Mirai funciona escravizando dispositivos conectados para formar uma rede maciça. Os dispositivos foram, então usados, ​​para inundar sites com solicitações, sobrecarregando-os, retirando-os efetivamente do ar.

Na época, ninguém esperava que um arsenal de dispositivos de Internet das Coisas fosse montado para formar uma botnet por trás de um ataque tão massivo. Mas as ameaças e as técnicas de hackers têm sofisticado em paralelo ao avanço das tecnologias. Recentemente, a equipe de inteligência de ameaças da Avast analisou um grupo de sete novas variantes do Mirai e investigou quem poderia estar por trás delas

Os resultados mostraram que os cibercriminosos por trás delas estão alugando essas botnets, como um serviço para os outros. A alteração do código Mirai, para liberar e distribuir uma nova versão da botnet, é relativamente simples, afirmou a Avast. Enquanto isso, as investigações da companhia apontaram que é possível que um script relativamente inexperiente esteja por trás dessas sete versões, capazes de causar grandes danos. 

Um malware padrão

Depois de derrubar grande parte da internet, o criador do malware Mirai, auto-denominado “Anna-Senpai”, lançou o código-fonte. O código Mirai rapidamente se tornou um framework, como um template. Com isso, qualquer um que encontre uma nova maneira de explorar um novo dispositivo, pode simplesmente adicioná-lo – o que criaria uma “nova” variante de botnet.

Recentemente, o usuário do Twitter @400kQBOT divulgou um link com o código-fonte de sete variantes do Mirai. A equipe de inteligência de ameaças da Avast começou a investigar as suas origens. As investigações da equipe levaram à suposição de que um cibercriminoso nomeado Scarface#1162 pode estar por trás das sete variantes de botnets, alugando o acesso à elas como um serviço, inclusive promovendo-as no YouTube e no Twitter. A suposição da equipe, de que 400kQbot e Scarface eram a mesma pessoa, foi confirmada em meados de setembro último. Isto, depois que ele se identificou em um tweet do 400kQBot.

Um olhar mais profundo sobre as variantes do Mirai 

Observando de perto as sete novas variantes do Mirai, os pesquisadores da Avast descobriram que elas diferem da versão original com relação à lista de senhas. Elas fazem uso de força bruta em dispositivos IoT vulneráveis, nas portas que acessam, bem como em arquiteturas.

Com relação às combinações de credenciais, o código Mirai original usava uma lista de 62 senhas altamente codificadas para executar um ataque de força bruta contra os dispositivos IoT vulneráveis. Ao analisar as variantes, a equipe da Avast descobriu que a lista de senhas é alterada por bot. A equipe recuperou e decodificou todas as senhas usadas por cada variante, para descobrir se a lista de senhas do código Mirai foi reutilizada e se há alguma sobreposição. A maior lista de senhas foi implementada na variante Saikin com 80 senhas, onde apenas quatro se sobrepõem ao código original do Mirai. Ao optar pela implementação de uma lista de senhas diferentes, é provável que o invasor tenha como alvo uma diversidade maior de dispositivos IoT.

“A nossa análise revelou que, embora as novas variantes não sejam notáveis em suas alterações do código-fonte original do Mirai, elas podem causar muitos danos”, escreveram os pesquisadores da Avast. Dentre os seus objetivos está o direcionamento de diferentes e um maior número de dispositivos IoT do que a variante Mirai original, por meio das variações das listas de senhas aplicadas em ataques de força bruta e adicionando novas portas ao seu destino. “Quanto mais variantes da botnet existirem, mais prejuízos poderão ser causados – e, para o usuário, isso significa que a ameaça é real”, acrescentaram. Caso um dispositivo doméstico seja atacado, como uma babá eletrônica ou um roteador, então, o cibercriminoso também poderá acessar todos os demais dispositivos da casa. 

Como conselho, usuários devem alterar as senhas padrão dos dispositivos, para senhas mais complexas. Também é importante atualizar o firmware, sempre que as novas atualizações estiverem disponíveis. 

 

 

 

via IDG Now!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *