Um ataque em 2016 bloqueou serviços como Twitter, CNN e Spotify e até mesmo o TudoCelular, em um dos maiores cibercrimes da história.

O botnet (grupo de computadores conectados à Internet, cada um deles rodando um ou mais bots e se comunicando com outros dispositivos, a fim de executar determinada tarefa) conhecido como Mirai era a força por trás desse ataque e foi criado por três hackers.

Os jovens Paras Jha e Dalton Norman, de 22 anos, e Josiah White, de 21 anos, foram condenados a cinco anos de liberdade condicional e, mesmo admitindo a culpa diante do tribunal, não passaram nem um dia presos por terem colaborado com o FBI no desmantelamento de outros botnets.

Contudo, quem pensa que a web está livre de novas ameaças como essa, está enganado. A equipe de inteligência da Avast, conhecido sistema de segurança digital, fabricante de antivírus e outras plataformas, descobriu a existência de sete novas variantes do Mirai e investigou quem poderia estar por trás delas.

Os resultados mostraram que os cibercriminosos por trás delas estão alugando essas botnets, como um serviço para os outros. A alteração do código Mirai, para liberar e distribuir uma nova versão da botnet, é relativamente simples. Enquanto isso, as investigações da equipe apontaram que é possível que um script relativamente inexperiente esteja por trás dessas sete versões, capazes de causar grandes danos.

O código-fonte do Mirai foi liberado pelos seus criadores, o que rapidamente fez dele um framework. Desta forma, qualquer usuário que encontre uma nova maneira de explorar um novo dispositivo tem a possibilidade de adicioná-lo, o que criaria uma variante de botnet.

Recentemente, o usuário do Twitter @400kQBOT divulgou um link com o código-fonte de sete variantes do Mirai.
As investigações da equipe levaram à suposição de que um cibercriminoso nomeado Scarface#1162 pode estar por trás das sete variantes de botnets, alugando o acesso à elas como um serviço, inclusive promovendo-as no YouTube e no Twitter.

A suposição da equipe, de que 400kQbot e Scarface eram a mesma pessoa, foi confirmada em meados de setembro último. Isto, depois que ele se identificou em um tweet do 400kQBot.

As diferenças entre as variantes do Mirai e o botnet original estão na lista de senhas. Elas fazem uso de força bruta em dispositivos IoT (Internet das Coisas, na sigla em inglês) vulneráveis.

Ao verificar o funcionamento do ataque, a equipe da Avast ecuperou e decodificou todas as senhas usadas por cada variante, para descobrir se a lista de senhas do código Mirai foi reutilizada e se há alguma sobreposição.

Todas as variantes do Mirai que a equipe de inteligência de ameaças da Avast analisou, tinham como alvo as mesmas arquiteturas do Mirai. Apenas três delas: Sora, Saikin e Akiru adicionaram duas novas arquiteturas: ARC (Argonaut RISC Core) e RCE (Motorola RCE).

“A nossa análise revelou que, embora as novas variantes não sejam notáveis em suas alterações do código-fonte original do Mirai, elas podem causar muitos danos. Dentre os seus objetivos está o direcionamento de diferentes e um maior número de dispositivos IoT do que a variante Mirai original, por meio das variações das listas de senhas aplicadas em ataques de força bruta e adicionando novas portas ao seu destino.

Quanto mais variantes da botnet existirem, mais prejuízos poderão ser causados - e, para o usuário, isso significa que a ameaça é real. Caso um dispositivo doméstico seja atacado, como uma babá eletrônica ou um roteador, então, o cibercriminoso também poderá acessar todos os demais dispositivos da casa. Os usuários devem alterar as senhas padrão dos dispositivos, para senhas mais complexas. Também é importante atualizar o firmware, sempre que as novas atualizações estiverem disponíveis”

Equipe de inteligência da Avast

A equipe ainda listou alguns passos para proteger dispositivos IoT e casas inteligentes:

1. Altere a senha padrão do administrador no roteador e de todos os dispositivos IoT, enquanto faz as configurações;
2. Mantenha os dispositivos em dia, com relação às atualizações mais recentes do firmware;
3. Desative o gerenciamento remoto na página de configurações do roteador;
4. Se não tiver certeza que o dispositivo foi infectado, considere a redefinição do dispositivo para as configurações do fabricante e, então, repita o passo a passo a partir etapa 1.