Variante da Botnet Mirai adiciona dezenas de novas explorações para segmentar dispositivos IoT

Pesquisadores de segurança descobriram uma nova variante do famoso botnet Mirai Internet of Things , desta vez direcionado para dispositivos destinados ao uso em ambientes corporativos, na tentativa de obter controle sobre uma largura de banda maior para realizar ataques DDoS devastadores .

Embora os criadores originais da rede de bots Mirai já tenham sido presos, variantes do infame malware IoT, incluindo Satori e Okiru , continuam surgindo devido à disponibilidade de seu código-fonte na Internet desde 2016.

O Malware da botnet tem a capacidade de infectar roteadores e câmeras de segurança, DVRs e outros dispositivos inteligentes – que normalmente usam credenciais padrão e executam versões desatualizadas do Linux – e escraviza os dispositivos comprometidos para formar uma botnet, que é então usado para conduzir ataques DDoS .

Agora, os pesquisadores da Unidade 42 da Rede Palo Alto identificaram a mais nova variante do Mirai que, pela primeira vez, tem como alvo dispositivos voltados para empresas, incluindo os sistemas de apresentação sem fio WiPG-1000 WePresent e TVs LG Supersign.

A variante Mirai adiciona 11 novas explorações à sua “bateria multi-exploit”, perfazendo um total de 27 explorações, bem como um novo conjunto de “credenciais padrão incomuns” para usar em ataques de força bruta contra dispositivos conectados à Internet.

“Esses novos recursos dão ao botnet uma grande superfície de ataque”, informaram pesquisadores da Unidade 42 em um post publicado na segunda-feira. 

“Em particular, a segmentação de links corporativos também concede acesso a uma maior largura de banda, resultando em maior poder de fogo para a botnet em ataques DDoS.”

Enquanto um exploit de execução remota de código para TVs LG Supersign (CVE-2018-17173) foi disponibilizado em setembro do ano passado, o código de ataque que explora uma vulnerabilidade de injeção de comando no WePresent WiPG-1000 foi publicado em 2017.

Além dessas duas explorações, A nova variante Mirai também está direcionada para vários hardwares incorporados como:

  • Roteadores Linksys
  • Roteadores ZTE
  • Roteadores DLink
  • Dispositivos de armazenamento de rede
  • NVRs e câmeras IP

Depois de varrer e identificar dispositivos vulneráveis, o malware recupera a nova carga do Mirai de um site comprometido e faz o download em um dispositivo de destino, que é adicionado à rede de botnets e pode ser usado para lançar ataques DDoS de Flood HTTP.

Mirai é a botnet infame que foi responsável por alguns dos ataques DDoS que quebraram recordes, incluindo aqueles contra o provedor de hospedagem baseado na França, OVH e serviço Dyn DNS. Isso prejudicou alguns dos maiores sites do mundo , incluindo Twitter, Netflix, Amazon e Spotify.

Os ataques com base em Mirai tiveram um aumento repentino depois que alguém publicou publicamente seu código-fonte em outubro de 2016, permitindo que invasores atualizassem a ameaça de malware com explorações recém-divulgadas de acordo com suas necessidades e metas.

“Esses novos desenvolvimentos ressaltam a importância de as empresas estarem cientes dos dispositivos IoT em suas redes, alterar as senhas padrão, garantir que os dispositivos estejam totalmente atualizados sobre os patches”, disseram os pesquisadores.

“E no caso de dispositivos que não podem ser corrigidos, para remover esses dispositivos da rede como último recurso.”

Certifique-se de alterar as senhas padrão dos seus dispositivos conectados à Internet assim que os levar para casa ou no escritório, e mantenha-os sempre atualizados com novos patches de segurança.