No início de agosto, a ESET abordou a campanha massiva de criptojacking que atingiu mais de 200 mil roteadores da marca MikroTik. De acordo com informações publicadas no Twitter pelo pesquisador Troy Mursch, os usuários do Brasil foram os mais afetados. Mas o problema não terminou nesse momento.
Apesar do fabricante dos roteadores ter lançado em abril um patch para essa vulnerabilidade, o problema é que, assim como ocorreu em agosto, muitos usuários ainda não atualizaram seus dispositivos e essa falha continua sendo explorada.
Os pesquisadores da empresa chinesa Netlab.360 descobriram que dos cerca de 1,2 milhões de roteadores da MikroTik existentes, quase 370 mil ainda permanecem desprotegidos contra a vulnerabilidade CVE-2018-14847 e, entre 23 e 24 de agosto, já haviam mais de 7.500 roteadores infectados que poderiam permitir que cibercriminosos pudessem monitorar o tráfico, injetar uma cópia do script de mineração do Coinhive, ativar o servidor proxy socks4 nos roteadores e espionar esses usuários.
De acordo com os dados divulgados no início de setembro por Troy Mursch, quem investiga campanhas de criptojacking, nesta atual campanha, o malware responsável pela infecção dos routeadores MikroTik intensificou sua atividade tanto nas CPUs como nos roteadores MikroTik em 80% e continuam nesse nível.
De acordo com dados obtidos com a ferramenta Shodan por Mursch, mais de 3.800 roteadores foram infectados, dos quais a maioria estavam na América do Sul. Neste sentido, assim como na campanha divulgada no início de agosto, o Brasil é o pais mais atingido com 2.612 roteadores infectados, seguido pela Argentina com 480, Equador com 214, e Colômbia com 120. Da mesma forma, outros países também foram afetados, como Rússia, Indonésia, Índia, Irã, Itália e Polônia.
Segundo comentou Mursch para o portal Bleeping Computer, é bem complicado saber exatamente qual a quantidade de dispositivos afetados porque os números estão mudando minuto a minuto. Outro artigo publicado pelo site The Hacker News, a vulnerabilidade que está sendo explorada há vários meses tinha sido revelado por WikiLeaks como parte do lançamento da conhecida Vault 7.
Como podemos observar com este caso dos roteadores da marca MikroTik, os cibercriminosos se aproveitam de vulnerabilidades antigas, uma vez que sabem que podem ter a oportunidade de atingir seus alvos já que há muitos usuários que não instalam as atualizações nos dispositivos.
A recomendação da ESET é que todos os usuários que tenham um roteador MikropTik baixem e instalem o patch que os protege contra essa vulnerabilidade.
