technoid-2877987_1280.jpg

Botnet usa DevOps para se manter ágil e garantir novas cargas e exploits

KashmirBlack usa o método de desenvolvimento para garantir que exploits possam ser adicionados com facilidade
Da Redação
27/10/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Pesquisadores de segurança descobriram uma operação de botnet global altamente sofisticada que realiza milhões de ataques por dia, incluindo mineração de criptomoedas, spamming e desfiguração. Denominada “KashmirBlack” pela equipe de pesquisadores da Imperva, a rede de bots utiliza centenas de milhares de máquinas comprometidas que são controladas por um único servidor de comando e controle (C&C).

Ativa desde meados de novembro de 2019, a botnet se espalha tendo como alvo uma vulnerabilidade PHPUnit RCE de quase uma década em sistemas de gerenciamento de conteúdo (CMS) populares. A Imperva alerta que a pandemia provavelmente gerou mais vítimas potenciais para a botnet, visto que muitas empresas têm usado essas plataformas para ter uma presença online no mercado.

A infraestrutura da botnet é aparentemente mais sofisticada do que a maioria, usando técnicas de DevOps para aumentar a agilidade e garantir que novas cargas e exploits possam ser adicionados com bastante facilidade.

Essa agilidade também significa que a botnet pode mudar rapidamente os repositórios como o GitHub, onde armazena o código malicioso, bem como sua infraestrutura C&C, que a Imperva afirmou ter migrado recentemente para o Dropbox para esconder seus rastros.

Veja isso
Botnet Mozi é responsável pela maioria dos ataques a redes IoT
Botnet ataca servidores, instala backdoors e some sem deixar nenhuma pista no disco

Em um sinal de alerta para possíveis interrupções externas, a Imperva bloqueou o acesso aos seus servidores de honeypot em apenas três dias após começarem a suspeitar dos ataques.

O grupo de hackers indonésio PhantomGhost estaria vinculado à botnet, afirma a fornecedora de software de segurança. “Esta é a primeira vez que conseguimos obter visibilidade de como exatamente uma botnet como essa opera. Uma descoberta importante que ajudará a indústria a entender melhor como esses grupos nefastos evoluem e sustentam suas atividades”, disse Ofir Shaty, pesquisador de segurança da Imperva e coautor da pesquisa, à Infosecurity.

Segundo ele, o nível de orquestração é notável. “É uma operação muito polida usando as técnicas de desenvolvimento de software mais recentes. Com potencialmente milhões de vítimas em todo o mundo, este nível de sofisticação deve ser motivo de preocupação. Uma vez que um servidor está sendo controlado por um hacker, ele tem o potencial de comprometer outros servidores no domínio em um efeito dominó, levando a um possível vazamento de dados, reduzindo a reputação da marca e, eventualmente, perdendo receita”.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest