{"id":19568,"date":"2022-06-14T16:32:42","date_gmt":"2022-06-14T19:32:42","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19568"},"modified":"2022-06-14T16:32:42","modified_gmt":"2022-06-14T19:32:42","slug":"router-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/router-malware\/19568\/","title":{"rendered":"As amea\u00e7as escondidas em malwares nos roteadores"},"content":{"rendered":"

Voc\u00ea faz a verifica\u00e7\u00e3o de seguran\u00e7a em seu computador toda semana, atualiza sistemas e programas prontamente<\/a>, usa senhas fortes e geralmente se cuida online\u2026 mas, por algum motivo, sua internet est\u00e1 lenta e alguns sites negam acesso? Pode ser um malware n\u00e3o no seu computador, mas no roteador.<\/p>\n

Por que roteadores?<\/h2>\n

Os cibercriminosos t\u00eam como alvo os roteadores principalmente por dois motivos. Primeiro, porque todo o tr\u00e1fego de rede passa por esses dispositivos; segundo, voc\u00ea n\u00e3o pode escanear um roteador com um antiv\u00edrus comum. Portanto, o malware que se instalou no roteador tem muitas oportunidades de ataque e muito menos chance de ser detectado \u2013 e menores ainda de ser exclu\u00eddo. Vamos agora falar sobre algumas coisas que os cibercriminosos podem fazer com um roteador infectado.<\/p>\n

Criar uma botnet<\/h2>\n

Um dos casos mais comuns \u00e9 quando um roteador infectado se junta a uma botnet; ou seja, uma rede de dispositivos que enviam in\u00fameras solicita\u00e7\u00f5es para um determinado site ou servi\u00e7o online como parte de um ataque DDoS. O objetivo dos invasores \u00e9 sobrecarregar o servi\u00e7o de destino a tal ponto que ele fique lento e eventualmente falhe.<\/p>\n

Enquanto isso, s\u00e3o os usu\u00e1rios comuns que tiveram os roteadores sequestrados que sofrem com velocidades de internet mais lentas, pois seus equipamentos est\u00e3o ocupados enviando solicita\u00e7\u00f5es maliciosas e s\u00f3 lidam com o tr\u00e1fego dos propriet\u00e1rios quando param para respirar.<\/p>\n

De acordo com nossos dados, os roteadores em 2021 foram atacados mais ativamente por duas fam\u00edlias de malware: Mirai e M\u0113ris, sendo o primeiro o campe\u00e3o por uma larga vantagem \u2013 respondendo por quase metade de todos os ataques a roteadores.<\/p>\n

Mirai<\/h3>\n

Essa famosa fam\u00edlia de malware com um nome doce (que significa \u201cfuturo\u201d em japon\u00eas) \u00e9 conhecida desde 2016. Al\u00e9m de roteadores, \u00e9 conhecido por infectar c\u00e2meras IP, TVs inteligentes e outros dispositivos de Internet das Coisas, incluindo equipamentos corporativos, como controladores sem fio e displays de publicidade digital. Inicialmente concebido para realizar ataques DDoS em larga escala em servidores Minecraft, o botnet Mirai foi posteriormente usado em outros servi\u00e7os. O c\u00f3digo-fonte do malware vazou h\u00e1 muito tempo online e forma a base de cada vez mais novas variantes.<\/p>\n

M\u0113ris<\/h3>\n

N\u00e3o \u00e9 \u00e0 toa que M\u0113ris significa \u201cpraga\u201d em let\u00e3o. Ele j\u00e1 afetou milhares de dispositivos de alto desempenho \u2013 principalmente roteadores MikroTik \u2013 e os conectou a uma rede para ataques DDoS. Por exemplo, durante um ataque a uma empresa financeira dos EUA<\/a> em 2021, o n\u00famero de solicita\u00e7\u00f5es da rede de dispositivos infectados pelo M\u0113ris atingiu 17,2 milh\u00f5es por segundo. Alguns meses depois, o botnet atacou v\u00e1rias empresas financeiras e de TI russas<\/a>, com um recorde de 21,8 milh\u00f5es de solicita\u00e7\u00f5es por segundo.<\/p>\n

Roubo de dados<\/h2>\n

Alguns malwares que infectam roteadores podem causar danos ainda mais s\u00e9rios, como roubar seus dados. Quando voc\u00ea est\u00e1 online, voc\u00ea envia e recebe muitas informa\u00e7\u00f5es importantes: dados de pagamento em lojas online, credenciais em redes sociais, documentos de trabalho por e-mail. Todas essas informa\u00e7\u00f5es, juntamente com o restante do tr\u00e1fego de rede, inevitavelmente passam pelo roteador. Durante um ataque, os dados podem ser interceptados por malware e cair diretamente nas m\u00e3os dos cibercriminosos.<\/p>\n

Um desses malwares que roubam dados \u00e9 o VPNFilter<\/a>. Ao infectar roteadores e servidores NAS, ele ganha a capacidade de coletar informa\u00e7\u00f5es e controlar ou desabilitar o roteador.<\/p>\n

Sites falsos<\/h2>\n

O malware alojado no roteador pode redirecion\u00e1-lo repentinamente para p\u00e1ginas com an\u00fancios ou sites maliciosos em vez daqueles que voc\u00ea deseja visitar. Voc\u00ea (e at\u00e9 mesmo seu navegador) pensar\u00e1 que est\u00e1 acessando um site leg\u00edtimo, quando na verdade est\u00e1 nas m\u00e3os de cibercriminosos.<\/p>\n

Funciona assim: quando voc\u00ea insere a URL de um site (digamos, google.com) na barra de endere\u00e7os, seu computador ou smartphone envia uma solicita\u00e7\u00e3o para um servidor DNS especial, onde s\u00e3o armazenados todos os endere\u00e7os IP cadastrados e suas respectivas URLs. Se o roteador estiver infectado, em vez de um servidor DNS leg\u00edtimo, ele pode enviar solicita\u00e7\u00f5es para um falso que responda \u00e0 consulta \u201cgoogle.com\u201d com o endere\u00e7o IP de um site completamente diferente \u2013 um que pode ser de phishing.<\/a><\/p>\n

O Trojan Switcher estava fazendo exatamente isso: infiltrando as configura\u00e7\u00f5es do roteador e especificando um servidor DNS malicioso como padr\u00e3o. Naturalmente, todos os dados inseridos nas p\u00e1ginas falsas vazaram para os invasores.<\/p>\n

Como os malwares entram nos roteadores?<\/h2>\n

Existem duas maneiras principais de plantar malware em um roteador: adivinhando a senha do administrador ou explorando uma vulnerabilidade no dispositivo.<\/p>\n

Descubra a senha<\/h3>\n

Todos os roteadores do mesmo modelo tendem a ter a mesma senha de administrador nas configura\u00e7\u00f5es de f\u00e1brica. N\u00e3o deve ser confundida com a chave de seguran\u00e7a da rede (a sequ\u00eancia de caracteres que voc\u00ea digita para se conectar ao Wi-Fi), a senha do administrador \u00e9 usada para entrar no menu de configura\u00e7\u00f5es do roteador. Se o usu\u00e1rio involuntariamente deixou as configura\u00e7\u00f5es de f\u00e1brica inalteradas, os invasores podem adivinhar facilmente a senha \u2013 especialmente se eles conhecem a marca do roteador \u2013 e infectar o roteador.<\/p>\n

Recentemente, no entanto, os fabricantes come\u00e7aram a levar a seguran\u00e7a mais a s\u00e9rio, atribuindo uma senha aleat\u00f3ria exclusiva para cada dispositivo em particular, tornando esse m\u00e9todo menos eficaz. Mas adivinhar a combina\u00e7\u00e3o certa para modelos mais velhos ainda \u00e9 brincadeira de crian\u00e7a.<\/p>\n

Explora\u00e7\u00e3o de vulnerabilidades<\/h3>\n

As vulnerabilidades do roteador s\u00e3o buracos em seu gateway para a Internet atrav\u00e9s dos quais todos os tipos de amea\u00e7as podem entrar diretamente em sua rede dom\u00e9stica ou corporativa \u2013 ou talvez apenas no pr\u00f3prio roteador, onde a detec\u00e7\u00e3o \u00e9 menos prov\u00e1vel. O botnet M\u0113ris mencionado acima faz exatamente isso, explorando vulnerabilidades n\u00e3o corrigidas em roteadores MikroTik.<\/p>\n

De acordo com nossa pesquisa<\/a>, v\u00e1rias centenas de novas vulnerabilidades foram descobertas em roteadores apenas nos \u00faltimos dois anos. Para proteger os pontos fracos, os fornecedores de roteadores lan\u00e7am patches e novas vers\u00f5es de firmware (essencialmente atualiza\u00e7\u00f5es do sistema operacional dos roteadores). Infelizmente, muitos usu\u00e1rios simplesmente n\u00e3o percebem que o software do roteador precisa ser atualizado, assim como outros programas.<\/p>\n

Como proteger sua rede?<\/h2>\n

Se voc\u00ea deseja proteger seu roteador dom\u00e9stico ou corporativo e manter seus dados seguros:<\/p>\n