Rio Forense

Malware pode lançar ataques de negação de serviço com mais de 3 Tbps

Uma nova rede de malwares distribuídos em massa é capaz de usar dispositivos infectados para lançar ataques de negação de serviço com até 3,3 Tbps, total que poderia colocar a ofensiva entre as maiores do mundo na categoria. O foco da ameaça está nos dispositivos da Internet das Coisas, principalmente roteadores da marca Huawei, servidores Apache Hadoop YARN e aparelhos que usam kits de desenvolvimento da fabricante RealTek.

Batizado de HinataBot e detalhado pelos pesquisadores da Akamai, o vírus estaria circulando desde o início do ano de forma massiva, se aproveitando de falhas de segurança não corrigidas nos dispositivos visados. A praga desenvolvida em Go seria baseada em outra rede de computadores zumbis, a Mirai, sendo distribuída inclusive pela mesma infraestrutura, com múltiplas amostras diferentes sendo capturadas pelos pesquisadores em segurança digital.

De acordo com eles, a contaminação acontece a partir de scripts que exploram as vulnerabilidades conhecidas, além de ataques de força-bruta com credenciais vazadas que permitem acesso a servidores desprotegidos. A instalação acontece de forma furtiva, com o HinataBot permanecendo escondido e inativo, para não ser detectado por softwares de segurança digital, até receber comandos remotos para a realização dos golpes DDoS.

Enquanto amostras antigas utilizam diferentes protocolos, os criminosos responsáveis pela praga parecem ter demonstrado preferências pelas conexões HTTP e UDP em variantes mais recentes. É na segunda alternativa que os golpes são mais devastadores, com o HinataBot sendo capaz de gerar os 3,3 Tbps em volume de dados a partir do uso de 10 mil nós de conexão.

Mesmo em circunstâncias menores, com apenas 1.000, o total registrado pelos especialistas foi de 336 Gbps através do protocolo UDP. Já em HTTP, os valores vcariaram de 3,21 Mbps até 421 Mbps, ultrapassando a casa de 20,4 mil solicitações e 6,7 mil pacotes enviados aos servidores que são alvo do golpe. E isso, apontam os pesquisadores, porque estamos falando de uma praga ainda em desenvolvimento, que pode chegar a valores ainda maiores em uma futura edição final.

Apenas a título de comparação, o atual recorde de informações enviadas em um ataque de negação de serviço é da Microsoft, que sofreu um golpe com 3,47 Tbps em janeiro do ano passado, com 340 milhões de pacotes. Já a Cloudflare, em fevereiro deste ano, disse ter mitigado o recorde da categoria em volume de solicitações, com o pico do golpe ultrapassando a marca das 71 milhões por segundo.

São valores distantes, mas a presença massiva de variantes do HinataBot pode significar que tais totais podem ser atingidos. Além disso, a ideia é que os desenvolvedores trabalhem em novas vulnerabilidades e táticas de comprometimento, infectando ainda mais aparelhos que podem ser acionados no momento oportuno, com uma infraestrutura que também fica a disposição de terceiros para a realização de ofensivas direcionadas.

A recomendação é de atenção aos administradores de redes, principalmente aquelas que possuam dispositivos visados em seu alcance. A Akamai divulgou indicadores de comprometimento, vulnerabilidades utilizadas e demais detalhes técnicos da ameaça em uma análise do malware, divulgada no final da última semana.

Via Canaltech

Sair da versão mobile