Rede do cibercrime aluga 250 mil bots

Especialistas da empresa Bitsight descobriram que está em uso desde 2013 o malware Socks5Systemz, usado por cibercriminosos para operar o serviço PROXY.AM, que fornece 250 mil servidores proxy anônimos no disparo de ataques DDoS. A operação com proxies abordagem permite que os invasores ocultem as fontes de seus ataques por meio de cadeias de sistemas infectados.

O objetivo do Socks5Systemz é transformar dispositivos comprometidos em nós de proxy que são então vendidos a outros cibercriminosos. O serviço de proxy está em operação desde 2016 e oferece servidores “anônimos e de elite” que custam de US$ 126 a US$ 700 por mês.

No seu auge, em janeiro de 2024, a botnet tinha aproximadamente 250 mil dispositivos ativos diariamente. No entanto, de lá para cá, a escala foi reduzida para 85 a 100 mil dispositivos infectados. Isto se deve à perda de controle da primeira versão da botnet em dezembro de 2023, segundo a Bitsight. Para restaurar a rede, os invasores criaram uma nova infraestrutura chamada Socks5Systemz V2.

A infecção se espalha através de loaders como Privateloader, SmokeLoader e Amadey. Os países líderes em número de dispositivos infectados são Índia, Indonésia, Ucrânia, Argélia e Vietnam.

Paralelamente a isso, os especialistas da Trend Micro descobriram a atividade de outra botnet, a Gafgyt, que tem como alvo APIs Docker remotas mal configuradas. Os invasores usam essas vulnerabilidades para ataques DDoS, bem como para a mineração de criptomoedas e roubo de dados.

Pesquisas realizadas por cientistas das Universidades de Leiden e Delft mostram que milhares de servidores em nuvem permanecem vulneráveis. Os problemas são mais comuns nos EUA, Índia e Austrália. Criam riscos de fuga de dados e perda de controlo sobre a infraestrutura.

Estes casos destacam a importância de reforçar a segurança dos servidores, a monitorização regular e as definições de configuração inteligentes para evitar ataques cibernéticos e fugas de dados.