Home / Dicas / Persirai: novo botnet da Internet das Coisas (IoT) ataca mais de 100 mil câmeras IP

Persirai: novo botnet da Internet das Coisas (IoT) ataca mais de 100 mil câmeras IP

Ataques são baseados no Shodan – mecanismo de busca de hardware conectado à Internet: 3,43% das câmeras vulneráveis estão em uso no Brasil

celular corporativo

São Paulo, maio de 2017 – A Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem;

Acaba de detectar um novo botnet de Internet das Coisas (IdC) chamado Persirai (detectado pela Trend Micro como ELF_PERSIRAI.A).
Ele foi visto atacando mais de 1.000 modelos de Câmeras Internet Protocol (IP) com base em vários produtos de uma fabricante chinesa.

O surgimento desse botnet ocorreu logo após o Mirai – malware de backdoor com código aberto que causou alguns dos ataques de Serviço Negado (DDoS) mais notáveis de 2016.
A Trend Micro detectou aproximadamente 120 mil câmeras IP que estão vulneráveis ao ELF_PERSIRAI via Shodan.

 

Boa parte desses usuários vulneráveis não sabem que suas câmeras IP estão expostas à Internet.
Isso faz com que seja significativamente mais fácil que os atacantes obtenham acesso à interface online da câmera IP por meio da Entrada TCP 81.

O Brasil foi mapeado como um dos países em que 3,43 % das câmeras atacadas estão em uso.
Número de câmeras IP vulneráveis (dados de 26 de abril de 2017)

Comportamento e Análise
Câmeras IP normalmente usam um Plug e Play Universais (UPnP), protocolos de rede que permitem aos dispositivos abrirem uma entrada no roteador e agirem como um servidor, tornando-as alvos visíveis para os malware de IoT.
Depois de fazer login na interface vulnerável, o invasor pode executar um comando que força a câmera IP a se conectar a um site de download.
Depois das amostras serem baixadas e executadas, o malware se deleta e só será executado na memória. Ele também irá bloquear o exploit zero-day indicando oftpupdate.sh e ftpupload.sh to /dev/null para impedir que outros atacantes ataquem a câmera IP da vítima.

No entanto, uma vez que a câmera é reinicializada, automaticamente ela se tornará vulnerável.
Após receber comandos do servidor, a câmera IP automaticamente começa a atacar outras do mesmo modelo, explorando uma vulnerabilidade zero-day que foi divulgada há alguns meses.

Por meio dessa vulnerabilidade, os atacantes acessam o arquivo de senha do usuário;

Fazendo com que eles tenham os meios para comandar as injeções mesmo que a senha seja forte.

Fluxo de ataque do ELF_PERSIRAI.A

Conclusão e Mitigação
A Internet das Coisas passou a ganhar impulso entre os usuários comuns.

Por isso os cibercriminosos podem começar a optar por deixar de lado servidores NTP (Network Time Protocol) e DNS (Domain Name System);

E preferir ataques de DDoS, concentrando-se em dispositivos vulneráveis;

Um problema agravado pelos usuários que usam poucas medidas de segurança.
Boa parte desses ataques foi causado pelo uso da senha padrão na interface do dispositivo.

No entanto, uma senha forte não garante que o dispositivo permaneça seguro.

Proprietários de câmera IP devem implementar outras medidas para garantir que seus dispositivos fiquem protegidos contra ataques externos.

Além de usar uma senha forte, os usuários também devem desativar a UPnP em seus roteadores para impedir a abertura de entradas de Internet externas sem qualquer aviso de dispositivos dentro da rede.
A segurança da IoT não depende só dos usuários;

Também dependem dos fornecedores, que devem ser os responsáveis por garantir que seus dispositivos permaneçam seguros e sempre atualizados.
Soluções Trend Micro
Além das boas práticas, soluções como Trend Micro™ Security e a Trend Micro Internet Security, oferecem uma proteção eficaz contra ameaças visando dispositivos IoT por meio de recursos de segurança que podem detectar malwares a nível de endpoint.
Dispositivos conectados podem ser protegidos por soluções de segurança como o Trend Micro Home Network Security, que verifica o tráfego da Internet entre o roteador e todos os dispositivos.

Além disso, as empresas podem monitorar todas as entradas e protocolos de rede para detectar ameaças avançadas e se proteger contra ataques direcionados por meio do Trend Micro™ Deep Discovery™ Inspector.

Sobre a Trend Micro
A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proporcionar um mundo seguro para a troca de informação digital.

Nossas soluções inovadoras para os consumidores, empresas e governos fornecem segurança em camadas para datacenters, ambientes em nuvem, redes e terminais.
Otimizadas para os principais ambientes, incluindo a Amazon Web Services, Microsoft®, VMware® e outros mais, nossas soluções permitem que as organizações automatizem a proteção de informações valiosas contra as ameaças atuais.
Todos os nossos produtos trabalham em conjunto para facilitar o compartilhamento de inteligência de ameaças e fornecimento de uma defesa contra ameaças conectada com visibilidade e controle centralizados, permitindo uma melhor proteção melhor e mais rápida.
Dentre os clientes Trend Micro, estão 45 dos 50 principais da lista top 50 Fortune ® Global 500 companies e 100% das 10 maiores empresas globais dos setores automotivo, bancário de telecomunicações e petróleo.
Com mais de 5.000 funcionários em mais de 50 países e a mais avançada inteligência de ameaças globais do mundo, a Trend Micro permite que as organizações garantam a sua jornada para a nuvem. Para mais informações, visite www.trendmicro.com.
Informações sobre a Trend Micro para a imprensa:

About Paulo Fernandes Maciel

Leave a Reply

Your email address will not be published. Required fields are marked *

*