Recentemente, a Trend Micro detectou um malware do tipo Mirai em atividade com origem na China. No período de 31 de março a 03 de abril, a companhia detectou um fluxo intenso vindo de 3.423 endereços de IP de scanners. O Brasil é aparentemente a localidade alvo do escaneamento dos dispositivos em rede, incluindo roteadores e câmeras IP.
O comportamento desta atividade é similar ao botnet Mirai – malware de backdoor com código aberto que causou alguns dos ataques de Serviço Negado (DDoS).
Sua cadeia de infecção envolve a busca contínua na Internet por dispositivos potencialmente vulneráveis e então utiliza credenciais padrão para sequestrá-los. Mas, desta vez, alguns novos nomes de usuários e senhas foram utilizados.
Utilização de roteadores fabricados na China e novas credenciais padrão
Geralmente, pares inéditos de senhas e usuários indicam novos alvos. Alguns dos pares de usuários e senhas encontrados pela Trend Micro são parte de configurações padrão dos roteadores de telecomunicação localizados na China.
Exemplos incluem os pares telnetadmin:telnetadmin, e8telnet:e8telnet, e e8ehome:e8ehome, que são usados nos modelos E-140W-P, HGU421v3, e E8C, respectivamente. De acordo com a Trend Micro, o escâner procurou investigar se existe qualquer roteador similar no Brasil.
Roteadores, câmeras IP, e DVRs usados para monitorar alvos
A Trend Micro verificou alguns endereços IP registrados em históricos de bases de dados e encontrou 167 roteadores, 16 câmeras IP, e quatro gravadores de vídeo digital (DVRs) envolvidos na atividade de escaneamento. Este resultado indica que o botnet mestre usou os dispositivos comprometidos para monitorar os alvos.
A maioria dos roteadores robôs identificados eram roteadores com base em Broadcom com senhas padrão. Esta descoberta é válida, uma vez que o Broadcom é um provedor líder de kit de desenvolvimento de software roteador doméstico.
Recomendações e soluções
As senhas padrões têm ganhado atenção por serem utilizadas como vantagem por agentes maliciosos para acessar dispositivos vulneráveis. Esta ameaça particular, no entanto, é outro caso em questão.
Abaixo seguem as boas práticas sobre o uso de senhas e combinações:
– Evite o uso de palavras comuns encontradas no dicionário, nomes familiares, ou informações pessoalmente identificáveis (PII);
– Recomenda-se o uso de pelo menos 15 caracteres com combinação de letras maiúsculas e minúsculas, números e caracteres especiais para senhas;
– Em dispositivos que se conectam à Internet das Coisas (IoT), implemente a segmentação de rede e isole dispositivos de redes públicas – restringir o tráfego para portas específicas também pode ser uma medida adicional;
– Os fabricantes, por sua vez, também compartilham a responsabilidade de assegurar aos usuários de dispositivo uma segurança abrangente que seja implementada desde o dispositivo até a nuvem. Isto inclui estar muito atento aos componentes de produto potencialmente vulneráveis e oferecer patches sempre que necessário.
– Além das melhores práticas sobre a segurança dos dispositivos IoT, os usuários podem utilizar as soluções de segurança que serão capazes de monitorar o tráfego de internet, identificar potenciais ataques e bloquear quaisquer atividades suspeitas em dispositivos conectados à rede.
