Roteadores vulneráveis da MikroTik foram mal utilizados para formar o que os pesquisadores de segurança cibernética chamaram de uma das maiores operações de cibercrime de botnet como serviço vistas nos últimos anos.
De acordo com uma nova pesquisa publicada pela Avast, uma campanha de mineração de criptomoedas aproveitando o novo botnet Glupteba, bem como o infame malware TrickBot, foi distribuído usando o mesmo servidor de comando e controle (C2).
“O servidor C2 serve como um botnet como serviço, controlando quase 230.000 roteadores MikroTik vulneráveis”, disse o pesquisador sênior de malware da Avast, Martin Hron, em um artigo, potencialmente vinculando-o ao que agora é chamado de botnet Mēris.
O botnet é conhecido por explorar uma vulnerabilidade conhecida no componente Winbox dos roteadores MikroTik (CVE-2018-14847), permitindo que os invasores obtenham acesso administrativo remoto não autenticado a qualquer dispositivo afetado. Partes do botnet Mēris foram destruídas no final de setembro de 2021.
“A vulnerabilidade CVE-2018-14847, que foi divulgada em 2018 e para a qual a MikroTik emitiu uma correção, permitiu que os cibercriminosos por trás dessa botnet escravizassem todos esses roteadores e presumivelmente os alugassem como um serviço”, disse Hron. .
Na cadeia de ataque observada pela Avast em julho de 2021, roteadores MikroTik vulneráveis foram direcionados para recuperar a carga útil do primeiro estágio de um domínio chamado bestony[.]club, que foi usado para buscar scripts adicionais de um segundo domínio “globalmoby[.]xyz .”
Curiosamente, ambos os domínios estavam vinculados ao mesmo endereço IP: 116.202.93[.]14, levando à descoberta de mais sete domínios que foram usados ativamente em ataques, um dos quais (tik.anyget[.]ru) foi usado para servir amostras de malware Glupteba para hosts direcionados.
“Ao solicitar a URL https://tik.anyget[.]ru, fui redirecionado para o domínio https://routers.rip/site/login (que está novamente oculto pelo proxy Cloudflare)”, disse Hron. “Este é um painel de controle para a orquestração de roteadores MikroTik escravizados”, com a página exibindo um contador ao vivo de dispositivos conectados à botnet.
Mas depois que os detalhes do botnet Mēris entraram em domínio público no início de setembro de 2021, diz-se que o servidor C2 parou abruptamente de servir scripts antes de desaparecer completamente.
A divulgação também coincide com um novo relatório da Microsoft, que revelou como o malware TrickBot arma os roteadores MikroTik como proxies para comunicações de comando e controle com os servidores remotos, levantando a possibilidade de que os operadores possam ter usado o mesmo botnet-as- um serviço.
À luz desses ataques, é recomendável que os usuários atualizem seus roteadores com os patches de segurança mais recentes, configurem uma senha de roteador forte e desativem a interface de administração do roteador do lado público.
“Isso também mostra, o que é bastante óbvio já há algum tempo, que os dispositivos IoT estão sendo fortemente direcionados não apenas para executar malware neles, o que é difícil de escrever e espalhar massivamente considerando todas as diferentes arquiteturas e versões do sistema operacional, mas simplesmente usar seus recursos legais e internos para configurá-los como proxies”, disse Hron. “Isso é feito para anonimizar os rastros do invasor ou para servir como uma ferramenta de amplificação de DDoS”.
Atualização: A empresa letã MikroTik disse ao The Hacker News que o número “só era verdade antes de lançarmos o patch no ano de 2018. Após o lançamento do patch, o número real de dispositivos afetados está mais próximo de 20.000 unidades que ainda executam o software mais antigo Além disso, nem todos eles são realmente controlados pela botnet, muitos deles têm um firewall estrito instalado, mesmo executando softwares mais antigos.”
Quando entrou em contato com a Avast para comentar, a empresa de segurança cibernética confirmou que o número de dispositivos afetados (~ 230.000) refletia o status da botnet antes de sua interrupção. “No entanto, ainda existem roteadores isolados com credenciais comprometidas ou que permanecem sem patches na Internet”, disse a empresa em comunicado.
(O título do artigo foi corrigido para levar em consideração o fato de que o número de roteadores MikroTik afetados não é mais de 200.000, conforme declarado anteriormente.)
Comentários