Meses atrás foi identificado um possível aumento no número de botnets. Um dos primeiros foi o Mirai; mais tarde, outro thingbot perigoso apareceu apelidado como Leet Botnet e o Amnesia botnet.

Agora, um novo botnet, chamado Brickerbot, surgiu nesse mar de ameaças. Ele foi visto por pesquisadores da Radware, que encontraram muitas semelhanças com o temido botnet Mirai. A principal diferença entre eles é que esta ameaça destrói permanentemente dispositivos IoT mal configurados.

O botnet Brickerbot foi descoberto em 20 de março, quando os pesquisadores da Radware observaram ataques contra um dos seus honeypots.

“Durante um período de quatro dias, o honeypot da Radware registraou 1.895 tentativas PDoS realizadas de vários locais ao redor do mundo. Seu único objetivo era comprometer dispositivos IoT e corromper seu armazenamento”, diz a análise compartilhada pela Radware. “Além deste bot intenso e de curta duração (BrickerBot.1), o honeypot da Radware gravou as tentativas de um segundo bot muito semelhante (BrickerBot.2), que iniciou tentativas PDoS na mesma data — ambos os bots foram descobertos com menos de uma hora de intervalo — com menor intensidade, mas mais profunda e as suas localizações estavam escondidas pelos nós de saída TOR.”

O honeypot registrou 1.895 tentativas de infecção pelo botnet Brickerbot em apenas quatro dias, a maioria dos ataques foi originado da Argentina, enquanto 333 tentativas vieram de um nó Tor.

O botnet Brickerbot aproveita na força bruta Telnet para comprometer um dispositivo IoT, uma técnica do Mirai.

O Bricker não tenta baixar um binário, isto significa que os peritos da Radware não foram capazes de recuperar a lista completa de credenciais usadas pelas tentativas de força bruta do bot, os pesquisadores foram capazes apenas de gravar a primeira tentativa paralela de username/password como ‘root’/’vizxv’, continua a assessoria.

O código malicioso destina-se a dispositivos baseado em Linux que executem o BusyBox toolkit que têm sua porta Telnet aberta e exposta na Internet.

As tentativas de ataque PDoS originaram-se de um número limitado de endereços IP. Os dispositivos IoT estão expondo a porta 22 (SSH) e executando uma versão mais antiga do servidor Dropbear SSH. A grande maioria dos dispositivos foram identificados por Shodan como dispositivos de rede Ubiquiti.

Uma vez que o malware tenha infectado o dispositivo, ele começa a embaralhar a memória usando rm -rf /* e desabilitando o TCP timestamps. Ela também limita o número máximo de threads do kernel para um.

O malware Brickerbot também limpa todas as regras NAT e firewall do iptables e adiciona uma regra para eliminar todos os pacotes de saída. Ele tenta limpar todo o código no dispositivo IoT vulnerável, tornando inutilizável.

Os especialistas da Radware forneceram as seguintes sugestões afim de proteger dispositivos IoT:

• Alterar credenciais do padrão de fábrica;
• Desabilitar o acesso Telnet ao dispositivo;
• Network Behavioral Analysis pode detectar anomalias no tráfego e combinar com a geração de uma assinatura automática para proteção;
• User/Entity behavioral analysis (UEBA) para detectar anomalias granulares no tráfego antecipadamente;
• Um IPS deve bloquear as credenciais padrão Telnet ou redefnir as conexões telnet. Use uma assinatura para detectar as sequências de comando fornecidas.