As botnets são responsáveis por mais de 95% do tráfego malicioso da web globalmente, de acordo com uma pesquisa realizada pela provedora de segurança cibernética gerenciada Trustwave. Para a pesquisa, a empresa implantou uma rede de honeypots localizados em vários países, incluindo Rússia, Ucrânia, Polônia, Reino Unido, China e Estados Unidos.
“Ao distribuir honeypots dessa maneira, pudemos reunir um conjunto confiável de informações sobre os métodos e técnicas usados pelos invasores e suas botnets, permitindo uma compreensão abrangente do atual cenário de ameaças ao banco de dados”, disse a Trustwave no relatório da pesquisa.
Com a instalação da rede de honeypots, a empresa foi capaz de identificar a exploração de alguns aplicativos corporativos vulneráveis específicos, incluindo o Forta GoAnywhere MFT, Microsoft Exchange, Fortinet FortiNAC, Atlassian Bitbucket e F5 Big-IP, que foram explorados dias depois o lançamento de seus códigos de exploração de prova de conceito (PoC).
Durante o período de seis meses encerrado em maio, a Trustwave analisou 38 mil IPs únicos, baixando pouco mais de 1.100 payloads atendidos em tentativas de exploração. “Quase 19% do tráfego total da web registrado era malicioso, e botnets foram responsáveis por mais de 95% do tráfego malicioso da web detectado”, disse no relatório.
Segundo a empresa, o objetivo principal desses ataques de botnet era fazer upload de um shell da web, um script malicioso para acesso não autorizado a sites ou servidores comprometidos, permitindo que os invasores realizassem outras ações contra os honeypots que se apresentavam como vítimas em potencial.
Veja isso
Hackers infectam servidores Linux SSH com botnet Tsunami
Condi constrói botnet DDoS a partir de roteadores TP-Link AX21
Em uma análise mais aprofundada, a pesquisa descobriu que as botnets Mozi, Kinsing e Mirai foram responsáveis por quase todas (95%) tentativas de exploração. Enquanto o Mozi representou 73% das botnets utilizadas, Mirai e Kinsing contribuíram com 9% e 13%, respectivamente.
“Essas famílias de malware são conhecidas principalmente por explorar vulnerabilidades em dispositivos conectados à Internet e montá-los em botnets usados para realizar ataques distribuídos de negação de serviço (DDoS) ou minerar criptomoedas”, disse o relatório.
As botnets Mozi e Mirai exploraram vulnerabilidades de IoT (internet das coisas) em várias tecnologias, incluindo roteadores Netgear, dispositivos MVPower DVR, roteadores D-link e Realtek SDK. As botnets Kinsing, no entanto, tentaram instalar o minerador de criptomoeda XMRig em sistemas baseados em Linux usando várias vulnerabilidades, incluindo as do Apache HTTP Server, PHPUnit, ThinkCMF e ThinkPHP.
“Devido à maneira como nossos honeypots foram implementados, não pudemos examinar as ações subsequentes que os invasores poderiam ter realizado”, finalizou o relatório.
