Roteadores não corrigidos reproduzem host para novo botnet enorme

O próximo botnet com problemas de Internet está começando a despertar lentamente. Desde o final de dezembro, um botnet conhecido como Satori tem infectado novos endpoints e geralmente mostra os sinais de um desastre prestes a acontecer. Como você deve se preparar para o próximo ataque DDoS em grande escala?

Um Botnet Dormant Reawakens

A última vez que vimos o botnet Satori foi em 2016 - quando ainda se chamava Mirai. Sabemos que dois anos é muito tempo para a segurança da informação, mas o incidente do botnet Mirai é difícil de esquecer. Usando milhões de dispositivos IoT infectados, como roteadores, câmeras de segurança e termostatos inteligentes, o botnet Mirai conseguiu travar o backbone de fibra de quase todo o litoral leste dos EUA. O ataque desligou a Internet por horas.

Satori não é Mirai, mas é um primo próximo. Ao contrário do Mirai, que precisava baixar um componente separado antes de se tornar ativo, o Satori se espalha como um worm. Os hosts infectados fazem a varredura de portas abertas em roteadores e outros dispositivos IoT, procurando vulnerabilidades específicas. Até o momento, três tipos de dispositivos vulneráveis ​​foram identificados:

• Huawei Home Gateway os roteadores podem conter um bug de execução remota de código que pode ser explorado. Pouco se sabe sobre a vulnerabilidade e nenhum patch está disponível atualmente.
• Realtek os roteadores contêm uma vulnerabilidade semelhante, mas foi corrigida em muitos sistemas, levando a uma menor taxa de sucesso para este exploit.
• Redes DASAN, um fabricante de roteadores pouco conhecido na Coréia do Sul opera cerca de 40.000 roteadores. Todos esses roteadores parecem ser vulneráveis ​​ao Satori, mas o fabricante não respondeu aos pesquisadores de segurança e parece não querer lançar um patch.

Desnecessário dizer que qualquer pessoa que esteja executando esses dispositivos deve tomar medidas para isolá-los, corrigir ou substituí-los imediatamente, se necessário.

Além de infectar roteadores, a operadora da rede Satori encontrou uma linha secundária lucrativa. O malware Satori recentemente teve como alvo e infectou software de mineração de criptomoeda. Explorando vulnerabilidades em um programa de software conhecido como Claymore, o malware foi capaz de sobrescrever endereços de carteira de criptomoedas com aqueles pertencentes ao operador de malware. Portanto, toda a moeda que está sendo explorada pela máquina associada será desviada para o invasor. O botnet Satori já arrecadou mais de US $ 2.000 em criptomoedas conhecidas como Ethereum usando esse método.

Um botnet multifuncional?

O uso desse botnet específico para minerar criptomoedas sugere que seu operador tem mais em mente do que simples ataques DDoS. Embora os operadores de botnet anteriores tenham gostado de usar suas redes para fins de extorsão, outros ataques no final de 2017 e no início de 2018 sugerem que esse modelo de negócios pode estar começando a mudar.

Os hackers inauguraram uma série de esquemas para roubar ou minerar parasiticamente várias criptomoedas. Vários grupos começaram a usar adware malicioso para infectar sites e sequestrar CPUs dos visitantes para minerar Bitcoin. Outro grupo foi capaz de infectar a nuvem pública da Tesla Motors sequestrando um console Kubernetes indefeso.

Embora o poder de processamento individual de um único roteador seja insignificante, uma rede de dezenas de milhares de bots pode ser capaz de gerar uma grande quantidade de criptomoeda agregada. Embora esses ataques possam ser relativamente inofensivos - afinal, eles não envolvem roubo ou criptografia de dados - o potencial de perturbação em massa é inegável.

Como ficar de olho em ataques de criptojacking e DDoS

Se você suspeitar que um invasor sequestrou um de seus dispositivos IoT, ou se você acha que alguém está apontando um ataque DDoS contra você, você vai querer saber imediatamente. Esses tipos de ataques sofisticados continuam crescendo e não é mais normal ter pontos cegos em sua rede e infraestrutura de aplicativos. O AppNeta pode ajudar fornecendo uma janela para sua rede. Você poderá ver onde a lentidão da rede e dos aplicativos está ocorrendo e rapidamente tirar conclusões sobre o que está acontecendo.

Ataques DDoS e cryptojacking levarão a lentidão perceptível da rede e dos aplicativos, o que terá um efeito cascata em termos de produtividade e capacidade de resposta do cliente. Se você deseja atenuar esses problemas antes que eles ocorram, entre em contato com AppNeta para uma demonstração gratuita hoje.