Meses atrás foi identificado um possível aumento no número de botnets. Um dos primeiros foi o Mirai; mais tarde, outro thingbot perigoso apareceu apelidado como Leet Botnet e o Amnesia botnet.
Agora, um novo botnet, chamado Brickerbot, surgiu nesse mar de ameaças. Ele foi visto por pesquisadores da Radware, que encontraram muitas semelhanças com o temido botnet Mirai. A principal diferença entre eles é que esta ameaça destrói permanentemente dispositivos IoT mal configurados.
O botnet Brickerbot foi descoberto em 20 de março, quando os pesquisadores da Radware observaram ataques contra um dos seus honeypots.
“Durante um período de quatro dias, o honeypot da Radware registraou 1.895 tentativas PDoS realizadas de vários locais ao redor do mundo. Seu único objetivo era comprometer dispositivos IoT e corromper seu armazenamento”, diz a análise compartilhada pela Radware. “Além deste bot intenso e de curta duração (BrickerBot.1), o honeypot da Radware gravou as tentativas de um segundo bot muito semelhante (BrickerBot.2), que iniciou tentativas PDoS na mesma data — ambos os bots foram descobertos com menos de uma hora de intervalo — com menor intensidade, mas mais profunda e as suas localizações estavam escondidas pelos nós de saída TOR.”
O honeypot registrou 1.895 tentativas de infecção pelo botnet Brickerbot em apenas quatro dias, a maioria dos ataques foi originado da Argentina, enquanto 333 tentativas vieram de um nó Tor.
O botnet Brickerbot aproveita na força bruta Telnet para comprometer um dispositivo IoT, uma técnica do Mirai.
O Bricker não tenta baixar um binário, isto significa que os peritos da Radware não foram capazes de recuperar a lista completa de credenciais usadas pelas tentativas de força bruta do bot, os pesquisadores foram capazes apenas de gravar a primeira tentativa paralela de username/password como ‘root’/’vizxv’, continua a assessoria.
O código malicioso destina-se a dispositivos baseado em Linux que executem o BusyBox toolkit que têm sua porta Telnet aberta e exposta na Internet.
As tentativas de ataque PDoS originaram-se de um número limitado de endereços IP. Os dispositivos IoT estão expondo a porta 22 (SSH) e executando uma versão mais antiga do servidor Dropbear SSH. A grande maioria dos dispositivos foram identificados por Shodan como dispositivos de rede Ubiquiti.
Uma vez que o malware tenha infectado o dispositivo, ele começa a embaralhar a memória usando rm -rf /* e desabilitando o TCP timestamps. Ela também limita o número máximo de threads do kernel para um.
O malware Brickerbot também limpa todas as regras NAT e firewall do iptables e adiciona uma regra para eliminar todos os pacotes de saída. Ele tenta limpar todo o código no dispositivo IoT vulnerável, tornando inutilizável.
Os especialistas da Radware forneceram as seguintes sugestões afim de proteger dispositivos IoT:
- Alterar credenciais do padrão de fábrica;
- Desabilitar o acesso Telnet ao dispositivo;
- Network Behavioral Analysis pode detectar anomalias no tráfego e combinar com a geração de uma assinatura automática para proteção;
- User/Entity behavioral analysis (UEBA) para detectar anomalias granulares no tráfego antecipadamente;
- Um IPS deve bloquear as credenciais padrão Telnet ou redefnir as conexões telnet. Use uma assinatura para detectar as sequências de comando fornecidas.