- Pesquisadores chineses descobriram uma variante do Mirai com nome ofensivo
- Ele tem como alvo roteadores industriais e dispositivos domésticos inteligentes com falhas de dia zero, configurações incorretas e senhas ruins
- Cerca de 15.000 endereços IP ativos foram encontrados
Recentemente foi observada uma nova botnet maliciosa, espalhando-se através de vulnerabilidades de dia zero e assimilando roteadores industriais e dispositivos domésticos inteligentes.
Pesquisadores de segurança cibernética da empresa chinesa Qi’anxin XLab afirmam que o botnet é baseado no Mirai, um infame malware que é conhecido por estar por trás de alguns dos maiores e mais devastadores ataques de negação de serviço distribuído (DDoS).
No entanto, as novas versões diferem muito do Mirai original, pois abusam de mais de 20 vulnerabilidades e têm como alvo senhas Telnet fracas, como meio de distribuição e disseminação. Algumas das vulnerabilidades nunca foram vistas antes e ainda não possuem CVEs atribuídos. Entre eles estão bugs em roteadores Neterbit e dispositivos domésticos inteligentes Vimar.
Ataques intensos
Os pesquisadores também observaram o CVE-2024-12856 sendo usado para infectar dispositivos. Esta é uma vulnerabilidade de injeção de comando de alta gravidade (7.2/10) encontrada em roteadores industriais Four-Faith.
A botnet é chamada de “gayfemboy” e aparentemente conta com cerca de 15.000 endereços IP ativos localizados nos EUA, Turquia, Irã, China e Rússia. A botnet tem como alvo principal esses dispositivos, portanto, se você estiver executando algum deles, fique atento a indicadores de comprometimento.
Roteadores ASUS, roteadores Huawei, roteadores Neterbit, roteadores LB-Link, roteadores industriais Four-Faith, câmeras PZT, Kguard DVR, Lilin DVR, DVRs genéricos, dispositivos domésticos inteligentes Vimar e outros dispositivos 5G/LTE diferentes com configurações incorretas ou credenciais fracas.
Quem está por trás deste botnet também não está perdendo tempo. Desde fevereiro do ano passado, ele vem executando diferentes ataques DDoS, com desempenho máximo registrado em outubro e novembro de 2024. Os alvos estão localizados principalmente na China, nos EUA, no Reino Unido, na Alemanha e em Cingapura.
Os ataques costumam durar entre 10 e 30 segundos e são bastante intensos, ultrapassando os 100Gbps de tráfego, o que pode atrapalhar até as infraestruturas mais robustas.
“Os alvos dos ataques estão em todo o mundo e distribuídos em vários setores”, disseram os pesquisadores. “Os principais alvos dos ataques estão distribuídos na China, nos Estados Unidos, na Alemanha, no Reino Unido e em Singapura”, concluíram.
Através BipandoComputador