Recentemente, uma série de ataques cibernéticos sofisticados chamou atenção para uma botnet massiva formada principalmente por roteadores TP-Link comprometidos. Esses ataques de pulverização de senhas, desenvolvidos por hackers associados ao governo chinês, afetam usuários da nuvem Azure da Microsoft e envolvem tentativas de acesso não autorizado a contas.
Esses dispositivos, agrupados em uma botnet denominada Botnet-7777, são usados para lançar tentativas de login simultâneas em contas, tornando difícil a detecção. Abaixo, vamos entender o impacto desses ataques e o papel do grupo Storm-0940, além de como se proteger contra essas ameaças.
O que é a Botnet-7777 e Como Funciona
A botnet em questão foi descoberta em 2023, quando pesquisadores identificaram uma rede com mais de 16 mil roteadores comprometidos. Esses dispositivos expõem o malware na porta 7777, criando um ambiente propício para ataques coordenados e difíceis de rastrear. Durante esse período, a botnet foi capaz de usar milhares de dispositivos para tentar acessar contas protegidas, um processo chamado de pulverização de senhas.
Nos últimos meses, os hackers têm reduzido a atividade da Botnet-7777. Contudo, esse declínio não significa o fim da operação. Em vez disso, os cibercriminosos estão aprimorando a infraestrutura da botnet e, de acordo com a Microsoft, planejam novos ataques com uma abordagem ainda mais refinada.
Ataques de Pulverização de Senhas: Como São Altamente Evasivos
O método de ataque conhecido como pulverização de senhas consiste em enviar diversas tentativas de login em intervalos regulares e de diferentes endereços IP. Esse padrão evita que as tentativas sejam identificadas rapidamente, uma vez que as tentativas de login são distribuídas em milhares de IPs de redes de baixo custo (SOHO), com endereços IP alternados para driblar os sistemas de segurança.
Com mais de 8 mil dispositivos à disposição, a botnet CovertNetwork-1658 facilita o trabalho de grupos como o Storm-0940 para executar ataques amplos, visando grandes organizações e setores estratégicos. Esse grupo busca comprometer contas para obter acesso não autorizado a dados, instalar malwares e abrir portas para futuras invasões.
Principais Alvos: Setores Estratégicos na América do Norte e Europa
O Storm-0940 está focado em alvos estratégicos que incluem think tanks, governos e organizações de defesa na América do Norte e Europa. Além de acessar credenciais por meio da CovertNetwork-1658, o grupo trabalha de forma ágil, usando as contas invadidas para se movimentar lateralmente nas redes corporativas. Dessa forma, eles ganham acesso a informações confidenciais, exfiltram dados e disseminam trojans.
A ação coordenada entre as equipes responsáveis pela botnet e os hackers do Storm-0940 sugere uma estratégia colaborativa e estruturada. A proximidade entre essas equipes permite o compartilhamento de credenciais em tempo real, aumentando a eficiência dos ataques. A Microsoft detectou casos em que as credenciais obtidas pelo CovertNetwork-1658 foram usadas pelo Storm-0940 no mesmo dia, ilustrando a rapidez e a precisão dessas operações.
Medidas de Proteção e Limitações dos Dispositivos TP-Link
Embora a Microsoft tenha feito o alerta, poucos detalhes foram oferecidos sobre como os usuários podem proteger seus roteadores TP-Link e outros dispositivos de ataque. No entanto, pesquisadores de segurança sugerem algumas práticas que podem ajudar. Muitos dispositivos infectados na botnet não possuem armazenamento persistente, o que significa que a infecção não sobrevive a uma reinicialização do dispositivo. Dessa forma, reiniciar o dispositivo pode eliminar temporariamente a ameaça, mas não impede a reinfecção.
Além disso, a configuração padrão de alguns desses dispositivos torna-os vulneráveis a ataques. Dessa forma, recomenda-se que os usuários atualizem os firmwares dos seus roteadores, alterem as senhas padrão e evitem o uso de redes públicas não protegidas para reduzir os riscos de comprometer a segurança.
O Futuro da Segurança em Dispositivos Conectados
À medida que os ataques de botnets evoluem, a segurança de dispositivos IoT como câmeras, roteadores e outros dispositivos conectados à Internet se torna um grande desafio. É fundamental que fabricantes de dispositivos de rede, como a TP-Link, ofereçam suporte constante aos seus produtos para mitigar vulnerabilidades.
A colaboração entre empresas de tecnologia, como a Microsoft e fabricantes de dispositivos, será crucial para proteger a infraestrutura conectada, que está cada vez mais suscetível a ataques. Em um mundo onde os ciberataques são cada vez mais sofisticados e frequentes, manter a segurança digital é essencial para usuários e empresas.
Conclusão: Importância da Prevenção e Conscientização
Enquanto a Botnet-7777 é uma ameaça iminente, a prevenção e a conscientização sobre a segurança digital podem ser as melhores defesas. Empresas e usuários devem adotar boas práticas de segurança e garantir que dispositivos estejam sempre atualizados para minimizar o impacto desses ataques.
Os ataques de pulverização de senhas são um exemplo claro de como criminosos estão cada vez mais sofisticados. Portanto, proteger nossos dispositivos conectados se tornou uma prioridade não apenas para evitar invasões, mas para assegurar que nossa privacidade e dados permaneçam protegidos.
FONTE: ARSTECHNICA
