Brasil é considerado um dos países vulneráveis à ataque habilidoso de malware Mirai

Especialistas da Kaspersky Lab estão analisando o primeiro vetor baseado em Windows para o malware Mirai como parte de um esforço combinado para fechar essas botnets. O bot do Windows parece ter sido criado por um desenvolvedor com habilidades mais avançadas do que os ataques que desencadearam ataques de DDoS da botnet Mirai no final de 2016, um fato que tem implicações preocupantes para o futuro uso e também para os alvos de ataques baseados no Mirai. O autor do malware provavelmente é falante de chinês. Os dados da Kaspersky Lab mostram cerca de 500 ataques à sistemas únicos em 2017, e os mercados emergentes que investiram pesadamente em tecnologias conectadas poderiam estar particularmente em risco.

O vetor baseado em Windows é mais rico e mais robusto do que o código base original do Mirai, mas a maioria dos componentes, como técnicas e funcionalidades do novo vetor têm vários anos. Sua capacidade de espalhar o malware Mirai é limitada: ela só pode entregar os bots Mirai de um host infectado do Windows para um dispositivo Linux IoT vulnerável se for capaz de forçar com sucesso uma conexão remota telnet.

Apesar desta limitação, o código foi desenvolvido de forma mais experiente, provavelmente alguém novo no cenário de ataques. Artefatos com detalhes de linguagem do software, o fato de que o código foi compilado em um sistema chinês, com servidores hospedados em Taiwan e o abuso de certificados digitaisde códigos roubados de empresas chinesas sugerem que o desenvolvedor provavelmente fala e entende chinês.

"O aparecimento de um crossover do Mirai, entre a plataforma Linux e Windows é uma preocupação real, como também a chegada à cena de desenvolvedores mais experientes. A publicação do código-fonte do Trojan bancário Zeus em 2011 trouxe anos de problemas para a comunidade on-line – e o lançamento do código-fonte do Mirai em 2016 fará o mesmo para a Internet. Os cibercriminosos mais experientes, trazendo habilidades e técnicas cada vez mais sofisticadas, estão começando a aproveitar o código fonte disponível livremente. Uma botnet do Windows espalhando os bots do Mirai permite sua disseminação para dispositivos e redes que até então não estavam disponíveis para os operadores da botnet Mirai. Este é apenas o começo", comenta Kurt Baumgartner, Principal Security Research, Kaspersky Lab.

De acordo com os dados de telemetria da Kaspersky Lab, quase 500 sistemas únicos foram atacados em 2017 por este bot do Windows, com as tentativas detectadas e bloqueadas.

Com base na geolocalização dos endereços IP envolvidos na segunda fase do ataque, os países mais vulneráveis são os mercados emergentes que investiram pesadamente em tecnologia conectada, como Brasil, Índia, Vietnã, Arábia Saudita, China, Irã, Marrocos, Turquia, Malawi, Emirados Árabes Unidos, Paquistão, Tunísia, Rússia, Moldávia, Venezuela, Filipinas, Colômbia, Romênia, Peru, Egito e Bangladesh.

A Kaspersky Lab está trabalhando com CERTs, provedores de hospedagem e operadores de rede para lidar com essa crescente ameaça à infraestrutura da Internet ao derrubar um número significativo de servidores de comando e controle. A remoção rápida e bem-sucedida desses servidores minimiza o risco e a interrupção que as botnets baseados em IoT de rápido crescimento apresentam. Como a expertise da Kaspersky Lab de alavancar sua experiência e relacionamentos com CERTs e fornecedores em todo o mundo, temos sido capazes de ajudar a acelerar esses esforços. Os produtos da Kaspersky Lab detectam e protegem contra bots Windows do Mirai.

Para saber mais sobre as ferramentas e técnicas do vetor Mirai baseado em Windows, bem como dados relevantes da pesquisa, acesse o blog Securelist.com.