Um ataque em grande escala causado pelo malware BrickerBot afetado 60 000 dispositivos de Internet em vários estados da Índia. Esta é uma campanha de acompanhamento operada por criminosos de segurança para derrubar dispositivos IoT em todo o mundo.
O malware BrickerBot ataca novamente: Hits Over 60 000 Dispositivos Índia
Especialistas em malware detectaram uma campanha de ataque em grande escala na Índia que conseguiu derrubar um grande número de dispositivos na Índia. Os operadores de hackers conseguiram derrubar muitos gateways da Internet, roteadores e modems em vários estados do país em um curto período de tempo. As estatísticas mostram que o ataque BrickerBot foi bem-sucedido em desabilitar 60 000 dispositivos até agora. As informações divulgadas mostram que clientes de duas operadoras de telecomunicações Bharat Sanchar Nigam Limited (BSNL) e Mahanagar Telephone Nigam Limited (MTNL) são afetados.
Detectou-se que a campanha de ataque estava em operação entre julho 25 e julho 29 quando os usuários das duas empresas relataram perda de conectividade. Foi descoberto que o malware BrickerBot foi responsável pelo incidente. Os ataques foram detectados por especialistas em segurança e empresas de telecomunicações. As campanhas do BrickerBot seguem um padrão de comportamento predefinido que é ligeiramente ajustado para refletir os dispositivos alvo. Um exemplo de cadeia de execução passa pelas seguintes ações:
- Infiltração - Ocorre no momento da infecção. O malware BrickerBot é ativado e executa um ataque de força bruta usando um conjunto de credenciais de dispositivo padrão ou uma força bruta baseada em dicionário para obter acesso aos alvos.
- Configuração incorreta - O principal objetivo do malware é causar um mau funcionamento do dispositivo configurando incorretamente as configurações-chave. Dependendo da versão obtida e do alvo, o BrickerBot pode lançar comandos diferentes. O malware começa a gravar dados aleatórios no armazenamento removível conectado, o que exclui efetivamente todos os arquivos, corrompendo-os. Os problemas de conectividade com a Internet são causados por modificações em um valor importante das configurações de rede. O desempenho é afetado pela limitação dos threads do kernel a um único.
- Reinicialização forçada - A fase final do ataque reinicializa os dispositivos. Como o sistema foi fortemente afetado pelo malware Brickerbot, ele é processado em um “com tijolos” dispositivo.
Esses ataques foram rotulados como PDoS, uma abreviatura de Negação de serviço permanente, também chamado “piscando”.
Malware BrickerBot: Um destruidor de dispositivos IoT eficaz
A campanha de ataque do BrickerBot conseguiu derrubar cerca de 45% de todas as conexões de banda larga de um dos provedores. Isso causou sérias interrupções nos estados afetados, conseqüentemente causando problemas por um tempo limitado ao backbone também.
Campanhas como esta mostram como um coletivo criminoso pode causar sérios problemas a alvos predefinidos em um ataque bem concentrado. Uma quantidade considerável de usuários afetados não alterou as credenciais padrão dos roteadores e modems fornecidos por telecomunicações. Isso permitiu que praticamente qualquer script baseado em dicionário lançasse ataques automatizados e invadisse as redes alvo.
A intrusão foi feita no porto 7547 que é responsável pelo protocolo TR069 usado para fins administrativos e gerenciamento remoto. Por motivo desconhecido, as portas estavam disponíveis para qualquer pessoa explorar. Depois que os primeiros ataques foram relatados, os provedores de serviço filtraram as portas, o que efetivamente encerrou os ataques.
O BrickerBot ataca o servidor como um aviso para problemas futuros
Os ataques de malware BrickerBot são relativamente simples de executar, pois usaram uma vulnerabilidade básica encontrada em muitos dispositivos em todo o mundo. O fato de que o coletivo de hackers por trás disso teve sucesso mostra que os provedores de serviços de Internet não levam a segurança básica a sério. Executados em uma escala maior, esses ataques de malware podem causar danos massivos à conectividade com a Internet e interrupções críticas de dispositivos em todo o mundo.
Para se proteger de possíveis intrusões, os administradores do sistema podem empregar as seguintes etapas:
- Alterar as credenciais padrão do dispositivo.
- O acesso por controle remoto deve ser desativado. O protocolo Telnet é o responsável pelas tentativas de intrusão do protocolo de rede, que é uma das formas mais comumente utilizadas para gerenciar dispositivos remotos.
- Os administradores de rede podem aplicar um sistema de detecção de intrusão para detectar tráfego suspeito e proteger os hosts usando meios automáticos.
Aconselhamos todos os usuários a usar uma solução gratuita de proteção contra malware para escanear seus computadores de quaisquer ameaças. BrickerBot ou outro vírus pode ter se infiltrado em partes de sua rede e pode colocar spyware nos computadores disponíveis. Ao usar o produto, os usuários de computador podem garantir que estão bem protegidos e todas as infecções encontradas podem ser facilmente removidas com apenas alguns cliques do mouse.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: