Botnet usa ataques de força-bruta para obter acesso a servidores SSH Linux

Uma nova botnet, derivada da conhecida rede criminosa Mirai, vem tentando obter acesso a servidores SSH de forma massiva desde, pelo menos, junho deste ano. A onda de ataques acontece a partir de milhares de conexões diferentes ao redor do mundo, com o uso de credenciais roubadas e sistemas de quebra de senha para viabilizar invasões.

• Criminosos se inspiram no e-commerce e usam dark web para se profissionalizar
• Como as ameaças digitais evoluíram nos últimos 10 anos?

Após uma ação bem sucedida, a rede, batizada de RapperBot, não realiza nenhum ato maligno. Isso fez com que os especialistas da Fortinet, responsáveis pela divulgação, concluissem que o intuito é a venda de acesso a terceiros interessados em realizar ataques, uma prática comum em um mercado cibercriminoso mais estruturado do que nunca.

Isso se deve ao fato de características comuns de botnets desse tipo, inclusive da própria Mirai, estarem desativadas, como a contaminação para uso em ataques de negação de serviço (DDoS) ou a instalação de mineradores de criptomoedas. O RapperBot até tem capacidades limitadas de DDoS, mas a ideia dos especialistas é que ele serve como vetor inicial para movimentação lateral e detonação de ataques contra as próprias redes.

Segundo a Fortinet, mais de 3.500 mil IPs distintos já foram usados em tentativas de intrusão contra servidores SSH rodando o sistema operacional Linux. Estados Unidos e Taiwan empatam como os países mais atingidos, ambos com 18% de contaminações, seguidos da Coreia do Sul (16%) e do Reino Unido (8%). O Brasil não aparece entre os maiores afetados.

A rede tem seus próprios servidores de comando e controle, capaz de criar usuários e até alterar senhas de sistemas para estabelecer persistência e permanecer nas redes mesmo após tarefas usuais de segurança serem realizadas. Foi de lá que veio uma mudança no curso da contaminação, que fez a botnet deixar um pouco de lado a disseminação para focar em tarefas de manutenção da própria presença.

Enquanto o intuito real das invasões ainda é desconhecido, os especialistas recomendam cautela dos administradores com o RapperBot, principalmente em sistemas cujas credenciais vazaram na internet ou que usem configurações padronizadas. O ideal é aplicar boas práticas de higiene digital e monitoramento, de forma a detectar possíveis intrusões e contaminações com a botnet. Os especialistas também liberaram indicadores de comprometimento e mais detalhes técnicos sobre a campanha.

Fonte: Fortinet