Desde que a fabricante de roteadores MikroTik emitiu um patch em abril para correção da falha CVE-2018-14847 há cibercriminosos explorando essa vulnerabilidade. As explorações são feitas por meio de ataques que vão desde a mineração de criptomoedas até espionagem. Para piorar, o Brasil lidera a lista dos dez países com mais roteadores contaminados (85.230), seguido pela Polônia (43.677), Indonésia (27.102) e Argentina (24.255). Para piorar mais ainda, a rede com mais roteadores contaminados é a da Vivo, com a Oi (Telemar Nordeste) em quarto lugar.
Essas informações estão num extenso relatório desenvolvido pelos pesquisadores Martin Hron e David Jursa, da Avast. Segundo eles, só de 19 de Setembro a 15 de Outubro deste ano a rede da empresa bloqueou mais de 22,4 milhões de vezes o acesso de seus clientes a alguma URL maliciosa de mineração de criptomoeda – sempre em trechos onde há gateways MikroTik infectados. O bloqueio protegeu mais de 362.616 usuários da empresa em 292.456 redes. A campanha de mineração de criptomoedas foi identificada como JS:InfectedMikroTik.
O estudo começou com um tweet do pesquisador de segurança @bad_packets, informando a existência de 250 mil roteadores da MikroTik comprometidos. Os pesquisadores da Avast identificaram e conseguiram a remoção de dois servidores de C&C. Uma das características da campanha JS:InfectedMikroTik que mais impressiona os pesquisadores é a longevidade com que o ataque persiste, mesmo após tornar-se público no final de julho. O malware utiliza várias técnicas inteligentes para controlar o poder computacional de centenas de milhares de redes, garantindo sua persistência nos roteadores afetados.
Existem aproximadamente 314 mil roteadores MikroTik na base de monitoramento da Avast. De todos, apenas 4,89% foram atualizados com o firmware mais recente da MikroTik para a correção da vulnerabilidade. O fato é que 85,48% ainda estão vulneráveis ao exploit Winbox. Os pesquisadores avisam que roteadores com credenciais padrão de fábrica ou senhas fracas também podem ser infectados.
