Roteadores DrayTek estão sendo atacados

Desde agosto de 2023, cibercriminosos estão explorado um zero-day em roteadores DrayTek para comprometer os dispositivos, roubar senhas e implantar ransomware em redes corporativas. A descoberta foi relatada em um estudo conjunto das empresas Forescout e PRODAFT, que identificaram o grupo Monstrous Mantis como o principal responsável pelos ataques, em parceria com operadores de ransomware como o RagnarLocker.

Leia também
H2HC reuniu top hackers do Brasil e do mundo
Uso de nuvem desafia equipes de cyber

Os invasores utilizam a vulnerabilidade para acessar o firmware dos roteadores DrayTek Vigor, extrair e decifrar credenciais, e repassá-las a grupos parceiros, que incluem Ruthless Mantis (PTI-288) e Wazawaka (LARVA-15). O grupo Ruthless Mantis, vinculado a antigos membros do notório grupo REvil, usou essas informações para atacar 337 organizações, principalmente no Reino Unido e na Holanda. Já o grupo Wazawaka, associado ao cibercriminoso russo Mikhail Matveev, teve papel intermediário, distribuindo dados roubados para outros agentes maliciosos.

A exploração dos roteadores permitiu que grupos como RagnarLocker, Qilin, Nokoyawa e RansomHouse implantassem ransomware em redes comprometidas. Entre as vítimas dos ataques está o Departamento de Polícia da Grande Manchester. No entanto, a vulnerabilidade explorada ainda não foi identificada como um CVE conhecido, e especialistas apontam que o alvo foi um componente de firmware conhecido como mainfunction.cgi, que já apresentou falhas em outras ocasiões.

Os ataques coincidem com ações recentes de autoridades internacionais para combater grupos de ransomware. Em uma operação coordenada, a Europol, o FBI e outras agências desativaram o site de vazamento do RagnarLocker, um grupo ligado a ataques contra infraestruturas críticas, como uma companhia aérea portuguesa e um hospital israelense.

A persistência de ataques utilizando vulnerabilidades em roteadores e dispositivos conectados reforça a importância de medidas proativas de segurança cibernética. Especialistas recomendam a atualização contínua de firmwares e o monitoramento rigoroso de dispositivos conectados para evitar que sejam explorados como portas de entrada em redes corporativas.