Os dispositivos IoT estão se tornando a opção predileta dos cibercriminosos para a construção de botnets. Há literalmente bilhões deles no mundo, a maioria dos quais facilmente acessíveis (via Telnet) e pirateados (devido à falta de controles de segurança). Não por acaso, as chamadas “thingbots” já são apontadas por muitas empresas de segurança como componentes principais da futura infraestrutura da darknet. E a terceira edição do estudo “The Hunt for IoT”, da F5, aponta o Brasil como o quarto país a partir do qual são disparados mais ataques massivos baseados em servidores C&C. Só perdemos para o Reino Unido, a Itália e a Turquia.
O levantamento da F5, baseado em um levantamento realizado pelos cinco SOCs (Security Operation Center) da F5, mapeia tanto a infraestrutura IoT transformada em ThingBots pelos hackers como, também, a presença de servidores C&C (Command & Control) no Brasil. Esses servidores identificam ativamanente e subjugam dispositivos IoT, transformando câmeras de vídeo, roteadores Wi-Fi, dispositivos de acesso à TV a cabo, Smart TVs, etc, em zumbis a serviço do crime. Os servidores C&C podem ser desde sistemas residentes em clouds até máquinas de empresas PME, com menor cultura de segurança, sequestradas pelos hackers e transformadas em rede a serviço do crime.
Essa profissionalização dos hackers locais, segundo a F5, faz com que os ataques digitais sejam, acima de tudo, um negócio, e um negócio com custos, lucros, serviços, etc. “Quanto maior o número de servidores C&C de uma gangue digital, mais impactante será a botnet criada e a possibilidade de pedir todos os tipos de vantagens (inclusive políticas) em razão do poder dos hackers de imobilizar negócios, governos, etc”, afirma o executivo.
A ThingBot Persirai, originada principalmente de uma nova e potente câmera de vídeo chinesa do mesmo nome, infectou, em 30 de junho de 2017, 600 mil dispositivos digitais IoT.
Em 2016, a mesma pesquisa mostrou que a infraestrutura IoT presente no Brasil era a quarta mais usada por hackers para montar botnets para ataques DDoS. A grande novidade da pesquisa deste ano é o uso crescente de servidores C&C no Brasil, mais especificamente, em São Paulo e Rio de Janeiro.
Dados Globais
Aqui estão os principais achados com base na análise de dados coletados entre 1 de janeiro e 30 de junho de 2017:
• Foram lançados 30,6 milhões de ataques de força bruta IoT.
• A atividade de ataques Telnet cresceu 280% em relação ao período anterior, entre 1 de julho a 31 de dezembro de 2016. Os dados incluem os ataques usando o malware Mirai e os ataques subseqüentes.
• O nível de atividade de ataque no momento da publicação do estudo indica que existem outras coisas que estão sendo construídas, além do Mirai ou Persirai, que ainda não conhecemos.
• 93% dos ataques deste período ocorreram em janeiro e fevereiro. As atividades dos hackers diminuíram significativamente entre março e junho. Isso pode significar que a fase de “recon” do atacante tenha terminado e que a fase de “construir somente” tenha começado.
• O principal país atacante neste período de relatório foi a Espanha, lançando 83% de todos os ataques, enquanto a atividade da China, o principal país atacante dos dois períodos anteriores, caiu significativamente, contribuindo com menos de 1% do volume de ataque total. (A China limpou os sistemas IoT comprometidos?)
• A Espanha realizou 25,5 milhões de ataques entre 1 de janeiro e 30 de junho. Muitos outros países participaram de ataques durante o período de seis meses, no entanto, nenhum deles contribuiu com mais de de 1%. Os 4 maiores atacantes depois da Espanha foram Índia, Rússia, Coréia do Sul e Seychelles. A China passou a ocupar a oitava posição.
• Os 10 principais endereços IP de ataque vieram de uma rede de provedores de hospedagem na Espanha: a SoloGigabit.
Fonte: CIO
Comentários