No final de junho, 2021, pesquisadores de segurança da empresa russa Qrator começaram a observar "um botnet de um novo tipo". Seguiu-se uma pesquisa conjunta com Yandex para descobrir mais sobre esta nova ameaça de DDoS "emergindo quase em tempo real".
relacionado: Novo botnet Mirai surge, Atacando Dispositivos IoT Vulneráveis
Meris Botnet: Nova ameaça DDoS emergente
Bastante substancial, força de ataque em constante crescimento, como Qrator colocou, foi descoberto na forma de dez de milhares de dispositivos host. O botnet foi apelidado de Meris, significa peste em letão.
"Separadamente, Qrator Labs viu o 30 000 dispositivos host em números reais por meio de vários ataques, e Yandex coletou os dados sobre 56 000 hosts de ataque,”De acordo com o relatório oficial. Este número é provavelmente ainda maior, alcançando 200,000. É digno de nota que os dispositivos deste botnet são altamente capazes e não são os dispositivos estatisticamente médios conectados via Ethernet.
O novo botnet Meris tem algo a ver com Mirai?
“Algumas pessoas e organizações já chamam o botnet “um retorno de Mirai”, que não pensamos ser preciso,”Qrator notado. Uma vez que os pesquisadores não viram o código malicioso por trás deste novo botnet, eles não podem dizer com certeza se é de alguma forma relacionado a Mirai. Contudo, já que os dispositivos que ele une vêm de apenas um fabricante, Mikrotek, é mais provável que o botnet Meris não tenha nada a ver com Mirai.
Quais são algumas especificações do botnet Meris?
- Proxy Socks4 no dispositivo afetado (não confirmado, embora dispositivos Mikrotik usem socks4)
- Uso de pipelining HTTP (http / 1.1) técnica para ataques DDoS (confirmado)
- Fazendo os próprios ataques DDoS baseados em RPS (confirmado)
- Porto aberto 5678 (confirmado)
Como os dispositivos Mikrotik são comprometidos?
o vulnerabilidades usadas para explorar dispositivos Mikrotik em uma escala tão grande ainda estão para ser delineados. Contudo, de acordo com clientes no fórum Mikrotik, houve tentativas de hacking em versões mais antigas do RouterOS, particularmente versão 6.40.1 que remonta a 2017. Se isso for confirmado, “Esta é uma notícia horrível,”Qrator disse. Não obstante, isso provavelmente não é verdade, já que a gama de versões do RouterOS usadas pelo botnet Meris varia de anos a mais recentes. O maior número vem do firmware anterior ao atual Estável.
Onde foram observados ataques do botnet Meris?
Ataques devastadores contra a Nova Zelândia, os Estados Unidos e a Rússia foram observados. Os pesquisadores alertam que o botnet pode "sobrecarregar" até mesmo a rede mais robusta, devido ao seu enorme poder RPS.
“Tem estado nas notícias ultimamente sobre “maior ataque DDoS na Internet russa e Yandex”, mas nós da Yandex vimos uma imagem muito maior do que isso. Cloudflare registrou os primeiros ataques deste tipo. Postagem do blog deles de agosto 19, 2021, mencionou que o ataque atingiu 17 milhões de solicitações por segundo. Observamos durações e distribuições semelhantes entre os países e relatamos essas informações à Cloudflare,”Afirmou o relatório.
Mikrotik foi contatado com informações sobre os ataques. Em termos de mitigação, a lista negra ainda é uma opção, além de manter os dispositivos atualizados.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: