Cresceu quase 20% o número de roteadores Mikrotik capturados numa botnet formada para a mineração da criptomoeda Monero. Ela foi descoberta por um pesquisador da Trustwave na semana passada e a informação publicada por ele no dia 31. A principal particularidade dessa descoberta é que a maior parte dos dispositivos contaminados se encontra no Brasil.
Desse dia até hoje, 5 de Agosto, o número de roteadores Mikrotik a serviço da botnet no mundo inteiro subiu de 72.187 para 85.499, ou seja, 92 dispositivos por hora. No Brasil, o crescimento foi menor, com 14%: mas o país ainda é o que conta com mais dispositivos contaminados, um total de 81.140 hoje contra 71.011 no dia 31. O buscador Censys, que vasculha também websites, indicou no dia 31 um total de 170 mil dispositivos de todos os tipos a serviço da botnet. Mas hoje mostra uma diminuição de 40% nesse total, com 105.850 pontos de contaminação. Um dos roteadores capturados atende o servidor web de um hospital, cuja identidade não foi revelada pelo pesquisador da Trustwave.
A contagem de hoje foi feita pelo Cibersecurity.net.br.
A botnet está contaminada com o malware Coinhive, que escraviza dispositivos para utilizá-los na mineração da criptomoeda Monero. Não se sabe quem está por trás desta botnet. Mas ela tem o objetivo de favorecer a mineração, atividade que custa recursos de computação e também energia elétrica. Quanto mais máquinas fazendo mineração, maiores as probabilidades de lucro para quem controla a rede.
A vulnerabilidade explorada nesses dispositivos foi corrigida pela Mikrotik num patch publicado dia 23 de abril – isso aconteceu 24 horas depois da descoberta da Vul. Mas é claro que muita gente ainda não aplicou. Então, o resultado é esse. Um dos alertas foi dado no Twitter pelo pesquisador MalwareHunterBR mas então o problema já havia assumido as proporções de um bom incêndio.
