Recentemente, a Trend Micro detectou um malware do tipo Mirai em atividade com origem na China. No período de 31 de março a 03 de abril, a companhia detectou um fluxo intenso vindo de 3.423 endereços de IP de scanners. O Brasil é aparentemente a localidade alvo do escaneamento dos dispositivos em rede, incluindo roteadores e câmeras IP.
Atividade do malware do tipo Mirai vinda da China
O comportamento desta atividade é similar ao botnet Mirai – malware de backdoor com código aberto que causou alguns dos ataques de Serviço Negado (DDoS).
Sua cadeia de infecção envolve a busca contínua na Internet por dispositivos potencialmente vulneráveis e então utiliza credenciais padrão para sequestrá-los. Mas, desta vez, alguns novos nomes de usuários e senhas foram utilizados.
Comportamento da ameaça
Geralmente, pares inéditos de senhas e usuários indicam novos alvos. Alguns dos pares de usuários e senhas encontrados pela Trend Micro são parte de configurações padrão dos roteadores de telecomunicação localizados na China.
Usuários e senhas usados no botnet original Mirai
Exemplos incluem os pares telnetadmin:telnetadmin, e8telnet:e8telnet, e e8ehome:e8ehome, que são usados nos modelos E-140W-P, HGU421v3, e E8C, respectivamente. De acordo com a Trend Micro, o escâner procurou investigar se existe qualquer roteador similar no Brasil.
24 combinações de usuários e senhas usadas nesta operação
A Trend Micro verificou alguns endereços IP registrados em históricos de bases de dados e encontrou 167 roteadores, 16 câmeras IP, e quatro gravadores de vídeo digital (DVRs) envolvidos na atividade de escaneamento. Este resultado indica que o botnet mestre usou os dispositivos comprometidos para monitorar os alvos.
Tentativas de login em um roteador de banda larga
A maioria dos roteadores robôs identificados eram roteadores com base em Broadcom com senhas padrão. Esta descoberta é válida, uma vez que o Broadcom é um provedor líder de kit de desenvolvimento de software roteador doméstico.
Top 5 das áreas da China com maior fluxo do malware
As senhas padrões têm ganhado atenção por serem utilizadas como vantagem por agentes maliciosos para acessar dispositivos vulneráveis. Esta ameaça particular, no entanto, é outro caso em questão.
Abaixo seguem as boas práticas sobre o uso de senhas e combinações:
– Evite o uso de palavras comuns encontradas no dicionário, nomes familiares, ou informações pessoalmente identificáveis (PII);
– Recomenda-se o uso de pelo menos 15 caracteres com combinação de letras maiúsculas e minúsculas, números e caracteres especiais para senhas;
– Em dispositivos que se conectam à Internet das Coisas (IoT), implemente a segmentação de rede e isole dispositivos de redes públicas – restringir o tráfego para portas específicas também pode ser uma medida adicional;
– Os fabricantes, por sua vez, também compartilham a responsabilidade de assegurar aos usuários de dispositivo uma segurança abrangente que seja implementada desde o dispositivo até a nuvem. Isto inclui estar muito atento aos componentes de produto potencialmente vulneráveis e oferecer patches sempre que necessário.
– Além das melhores práticas sobre a segurança dos dispositivos IoT, os usuários podem utilizar as soluções de segurança que serão capazes de monitorar o tráfego de internet, identificar potenciais ataques e bloquear quaisquer atividades suspeitas em dispositivos conectados à rede.
Receba nossa newsletter por e-mail
e fique atualizado!
Texto: