Pesquisadores de segurança descobriram uma operação de botnet global altamente sofisticada que realiza milhões de ataques por dia, incluindo mineração de criptomoedas, spamming e desfiguração. Denominada “KashmirBlack” pela equipe de pesquisadores da Imperva, a rede de bots utiliza centenas de milhares de máquinas comprometidas que são controladas por um único servidor de comando e controle (C&C).
Ativa desde meados de novembro de 2019, a botnet se espalha tendo como alvo uma vulnerabilidade PHPUnit RCE de quase uma década em sistemas de gerenciamento de conteúdo (CMS) populares. A Imperva alerta que a pandemia provavelmente gerou mais vítimas potenciais para a botnet, visto que muitas empresas têm usado essas plataformas para ter uma presença online no mercado.
A infraestrutura da botnet é aparentemente mais sofisticada do que a maioria, usando técnicas de DevOps para aumentar a agilidade e garantir que novas cargas e exploits possam ser adicionados com bastante facilidade.
Essa agilidade também significa que a botnet pode mudar rapidamente os repositórios como o GitHub, onde armazena o código malicioso, bem como sua infraestrutura C&C, que a Imperva afirmou ter migrado recentemente para o Dropbox para esconder seus rastros.
Veja isso
Botnet Mozi é responsável pela maioria dos ataques a redes IoT
Botnet ataca servidores, instala backdoors e some sem deixar nenhuma pista no disco
Em um sinal de alerta para possíveis interrupções externas, a Imperva bloqueou o acesso aos seus servidores de honeypot em apenas três dias após começarem a suspeitar dos ataques.
O grupo de hackers indonésio PhantomGhost estaria vinculado à botnet, afirma a fornecedora de software de segurança. “Esta é a primeira vez que conseguimos obter visibilidade de como exatamente uma botnet como essa opera. Uma descoberta importante que ajudará a indústria a entender melhor como esses grupos nefastos evoluem e sustentam suas atividades”, disse Ofir Shaty, pesquisador de segurança da Imperva e coautor da pesquisa, à Infosecurity.
Segundo ele, o nível de orquestração é notável. “É uma operação muito polida usando as técnicas de desenvolvimento de software mais recentes. Com potencialmente milhões de vítimas em todo o mundo, este nível de sofisticação deve ser motivo de preocupação. Uma vez que um servidor está sendo controlado por um hacker, ele tem o potencial de comprometer outros servidores no domínio em um efeito dominó, levando a um possível vazamento de dados, reduzindo a reputação da marca e, eventualmente, perdendo receita”.
