Caçadores de malware descobriram uma rede de bots com 40 mil botnets repleta de roteadores e dispositivos IoT em fim de vida útil sendo utilizados em atividades cibercriminosas. De acordo com relatório do Black Lotus Labs da Lumen, um notório grupo de criminosos cibernéticos conhecido como Faceless vem realizando uma campanha há vários anos visando roteadores para pequenas residências, escritórios e dispositivos IoT em todo o mundo.
A botnet roteadora, identificada pela primeira vez em 2014, vinha operando silenciosamente enquanto crescia em mais de 88 países, quando foi rastreada entre janeiro e fevereiro deste ano. “A maioria dessas botnets é usada como base de um serviço de proxy focado em criminosos cibernéticos. Nosso último rastreamento mostrou que [a botnet] permitiu o crescimento do Faceless a uma taxa de quase 7 mil novos usuários por semana”, disseram os pesquisadores do Black Lotus Labs.
Ele disseram ter identificado o mapa lógico do serviço de proxy do grupo, incluindo uma campanha que começou na primeira semana deste mês e que visava mais de 6 mil roteadores Asus em menos de 72 horas.
Os pesquisadores observaram que o cluster de atividades baseado em roteadores e dispositivos IoT foi observado comunicando-se com dezenas de milhares de endereços IP distintos por semana. “Nossa análise indica que os operadores por trás desta botnet estavam registrando os dispositivos comprometidos em fim de vida útil em um serviço de proxy residencial estabelecido chamado Faceless”, disseram os especialistas, alertando que se tornou “um serviço de proxy que aumentou [surgindo] das cinzas do serviço de anonimato iSocks e se tornou uma ferramenta para os cibercriminosos ofuscarem a sua atividade.”
Veja isso
Botnet Androxgh0st rouba credenciais da AWS e Microsoft
Nova botnet explora dias zero para infectar NVRs e roteadores
Os especialistas do Black Lotus Labs acreditam que o direcionamento de dispositivos IoT em fim de vida útil em todo o mundo é deliberado, uma vez que não têm mais o suporte do fabricante e vulnerabilidades de segurança conhecidas não são corrigidas. “Existe também a possibilidade de que dispositivos como estes possam por vezes ser esquecidos ou abandonados”, alertaram.
Os pesquisadores recomendam que os profissionais de segurança de redes corporativas procurem ataques a credenciais fracas e tentativas de login suspeitas, mesmo quando originados de endereços IP residenciais que contornam a delimitação geográfica e o bloqueio baseado em ASN. Eles também aconselham que protejam os ativos de nuvem contra a comunicação com bots que tentam realizar ataques de pulverização de senhas e comecem a bloquear dispositivos da lista de indicadores de comprometimento (IoCs) com firewalls de aplicativos da web.