Descoberta pela primeira vez em 2016, a botnet Mirai assumiu um número sem precedentes de dispositivos e causou grandes danos à Internet. Agora está de volta e mais perigoso do que nunca.
O novo e melhorado Mirai está infectando mais dispositivos
Em 18 de março de 2019, pesquisadores de segurança em PaloA Alto Networks revelou que a Mirai foi aprimorada e atualizada para atingir o mesmo objetivo em uma escala maior. Os pesquisadores descobriram que a Mirai estava usando 11 novas exportações (elevando o total para 27) e uma nova lista de credenciais de administrador padrão para tentar. Algumas das mudanças visam o hardware comercial, incluindo TVs LG Supersign e sistemas de apresentação sem fio WePresent WiPG-1000.
O Mirai pode ser ainda mais potente se assumir o hardware comercial e comandar as redes comerciais. Como diz Ruchna Nigam, pesquisadora sênior de ameaças da Palo Alto Networks:
Esses novos recursos oferecem à botnet uma grandesuperfície de ataque. Em particular, o direcionamento de links corporativos também concede acesso a uma largura de banda maior, resultando em maior poder de fogo da botnet para ataques DDoS.
Esta variante de Miria continua a atacarroteadores, câmeras e outros dispositivos conectados à rede. Para fins destrutivos, quanto mais dispositivos infectados, melhor. Ironicamente, a carga maliciosa foi hospedada em um site que promovia um negócio que tratava de "Segurança eletrônica, integração e monitoramento de alarmes".
Mirai é um botnet que ataca dispositivos IOT
Se você não se lembra, em 2016 a botnet Miraiparecia estar em toda parte. Seu alvo era roteadores, sistemas DVR, câmeras IP e muito mais. Esses dispositivos geralmente são chamados de Internet das Coisas (IoT) e incluem dispositivos simples, como termostatos que se conectam à Internet. As redes de bots funcionam infectando grupos de computadores e outros dispositivos conectados à Internet e forçando as máquinas infectadas a atacar sistemas ou a trabalhar em outros objetivos de maneira coordenada.
Mirai foi atrás de dispositivos com o administrador padrãocredenciais, porque ninguém as alterou ou porque o fabricante as codificou. A botnet assumiu um grande número de dispositivos. Mesmo que a maioria dos sistemas não fosse muito poderosa, os números absolutos trabalhados poderiam trabalhar juntos para alcançar mais do que um poderoso computador zumbi por si só.
A Mirai assumiu quase 500.000 dispositivos. Usando esse botnet agrupado de dispositivos de IoT, a Mirai prejudicou serviços como Xbox Live e Spotify e sites como BBC e Github, visando diretamente os provedores de DNS. Com tantas máquinas infectadas, o Dyn (um provedor de DNS) foi derrubado por um ataque DDOS que registrou 1,1 terabytes de tráfego. Um ataque DDOS funciona inundando um alvo com uma quantidade enorme de tráfego da Internet, mais do que o alvo pode suportar. Isso fará o rastreamento do site ou serviço da vítima ou forçá-lo a sair completamente da Internet.
Os criadores originais da botnet Maraio software foi preso, considerado culpado e recebeu termos de liberdade condicional. Por um tempo, Mirai foi desligada. Mas o código sobreviveu o suficiente para outros atores ruins assumirem Mirai e alterá-lo para atender às suas necessidades. Agora há outra variante do Mirai por aí.
RELACIONADOS: O que é um botnet?
Como se proteger de Mirai
O Mirai, como outras redes de bots, usa explorações conhecidas paraatacar dispositivos e comprometê-los. Ele também tenta usar credenciais de login padrão conhecidas para trabalhar no dispositivo e assumi-lo. Portanto, suas três melhores linhas de proteção são diretas.
Sempre atualize o firmware (e software) doqualquer coisa que você tenha em sua casa ou local de trabalho que possa se conectar à Internet. Hacking é um jogo de gato e rato, e uma vez que um pesquisador descobre uma nova exploração, os patches seguem para corrigir o problema. Botnets como essa prosperam em dispositivos sem patches, e essa variante Mirai não é diferente. As explorações direcionadas ao hardware comercial foram identificadas em setembro e 2017.
RELACIONADOS: O que é firmware ou microcódigo e como posso atualizar meu hardware?
Alterar as credenciais de administrador dos seus dispositivos(nome de usuário e senha) o mais rápido possível. Para roteadores, você pode fazer isso na interface da Web ou no aplicativo móvel do roteador (se houver). Para outros dispositivos nos quais você faz login com o nome de usuário ou senha padrão, consulte o manual do dispositivo.
Se você puder fazer login usando admin, senha ou umcampo em branco, você precisa alterar isso. Certifique-se de alterar as credenciais padrão sempre que configurar um novo dispositivo. Se você já configurou dispositivos e esqueceu de alterar a senha, faça isso agora. Essa nova variante do Mirai visa novas combinações de nomes de usuário e senhas padrão.
Se o fabricante do dispositivo parou de lançar novas atualizações de firmware ou codificou as credenciais de administrador, e você não pode alterá-las, considere a substituição do dispositivo.
A melhor maneira de verificar é começar no seusite do fabricante. Encontre a página de suporte do seu dispositivo e procure por avisos sobre atualizações de firmware. Verifique quando o último foi lançado. Se já se passaram anos desde uma atualização de firmware, o fabricante provavelmente não está mais suportando o dispositivo.
Você pode encontrar instruções para alterar ocredenciais de administração no site de suporte do fabricante do dispositivo também. Se você não encontrar atualizações recentes de firmware ou um método para alterar a senha do dispositivo, provavelmente é hora de substituí-lo. Você não deseja deixar algo permanentemente vulnerável conectado à sua rede.
A substituição dos seus dispositivos pode parecer drástica, mas seeles são vulneráveis, é sua melhor opção. Botnets como Mirai não vão embora. Você tem que proteger seus dispositivos. E, ao proteger seus próprios dispositivos, você estará protegendo o resto da Internet.
