Malware do tipo Mirai atinge alvos brasileiros

Ameaça ataca dispositivos IoT e hackers utilizam credenciais padrão para sequestrá-los; cadeia de infecção envolve a busca contínua por dispositivos vulneráveis e utiliza novos nomes de usuários e senha

Compartilhar:

Recentemente, a Trend Micro detectou um malware do tipo Mirai em atividade com origem na China. No período de 31 de março a 03 de abril, a companhia detectou um fluxo intenso vindo de 3.423 endereços de IP de scanners. O Brasil é aparentemente a localidade alvo do escaneamento dos dispositivos em rede, incluindo roteadores e câmeras IP.

 

Atividade do malware do tipo Mirai vinda da China

 

O comportamento desta atividade é similar ao botnet Mirai – malware de backdoor com código aberto que causou alguns dos ataques de Serviço Negado (DDoS).

 

Sua cadeia de infecção envolve a busca contínua na Internet por dispositivos potencialmente vulneráveis e então utiliza credenciais padrão para sequestrá-los. Mas, desta vez, alguns novos nomes de usuários e senhas foram utilizados.

 

Comportamento da ameaça

 

Utilização de roteadores fabricados na China e novas credenciais padrão

 

Geralmente, pares inéditos de senhas e usuários indicam novos alvos. Alguns dos pares de usuários e senhas encontrados pela Trend Micro são parte de configurações padrão dos roteadores de telecomunicação localizados na China.

 

Usuários e senhas usados no botnet original Mirai

 

Exemplos incluem os pares telnetadmin:telnetadmin, e8telnet:e8telnet, e e8ehome:e8ehome, que são usados nos modelos E-140W-P, HGU421v3, e E8C, respectivamente. De acordo com a Trend Micro, o escâner procurou investigar se existe qualquer roteador similar no Brasil.

 

24 combinações de usuários e senhas usadas nesta operação

 

Roteadores, câmeras IP, e DVRs usados para monitorar alvos

 

A Trend Micro verificou alguns endereços IP registrados em históricos de bases de dados e encontrou 167 roteadores, 16 câmeras IP, e quatro gravadores de vídeo digital (DVRs) envolvidos na atividade de escaneamento. Este resultado indica que o botnet mestre usou os dispositivos comprometidos para monitorar os alvos.

 

Tentativas de login em um roteador de banda larga

 

A maioria dos roteadores robôs identificados eram roteadores com base em Broadcom com senhas padrão. Esta descoberta é válida, uma vez que o Broadcom é um provedor líder de kit de desenvolvimento de software roteador doméstico.

 

Top 5 das áreas da China com maior fluxo do malware

 

Recomendações e soluções

 

As senhas padrões têm ganhado atenção por serem utilizadas como vantagem por agentes maliciosos para acessar dispositivos vulneráveis. Esta ameaça particular, no entanto, é outro caso em questão.

 

Abaixo seguem as boas práticas sobre o uso de senhas e combinações:

 

– Evite o uso de palavras comuns encontradas no dicionário, nomes familiares, ou informações pessoalmente identificáveis (PII);

 

– Recomenda-se o uso de pelo menos 15 caracteres com combinação de letras maiúsculas e minúsculas, números e caracteres especiais para senhas;

 

– Em dispositivos que se conectam à Internet das Coisas (IoT), implemente a segmentação de rede e isole dispositivos de redes públicas – restringir o tráfego para portas específicas também pode ser uma medida adicional;

 

– Os fabricantes, por sua vez, também compartilham a responsabilidade de assegurar aos usuários de dispositivo uma segurança abrangente que seja implementada desde o dispositivo até a nuvem. Isto inclui estar muito atento aos componentes de produto potencialmente vulneráveis e oferecer patches sempre que necessário.

 

– Além das melhores práticas sobre a segurança dos dispositivos IoT, os usuários podem utilizar as soluções de segurança que serão capazes de monitorar o tráfego de internet, identificar potenciais ataques e bloquear quaisquer atividades suspeitas em dispositivos conectados à rede.

 

Conteúdos Relacionados

Security Report | Overview

Vazamentos geraram cerca de 600 anúncios com dados brasileiros na dark web

Análise da Kaspersky indica que os setores público e de telecomunicações foram os mais visados pelos ataques que resultaram nos...
Security Report | Overview

Febraban alerta para golpe do falso fornecedor

Criminosos investem em anúncios na internet e em plataformas online de serviços de manutenção para cometer crimes com o uso...
Security Report | Overview

Novo malware finge ser assistente de IA para roubar dados de brasileiros, afirma relatório

Pesquisa revela que golpistas estão usando anúncios no Google e um aplicativo falso de IA (DeepSeek) para instalar programa que...
Security Report | Overview

Brasil está entre os dez países com mais ameaças de malware, afirma pesquisa

Relatório indica nações que devem tomar precauções extras para tornar os sistemas corporativos mais resilientes contra ataques como ransomware