Mirai ainda ameaça ecossistema IoT

Botnets construídas a partir da base de código Mirai continuam a causar estragos na área de tecnologia, com ciberataques aproveitando a segurança frouxa da Internet das Coisas (IoT). O malware Mirai, conhecido desde 2016, quando fez sua primeira aparição em um ataque distribuído de negação de serviços (DDoS) ao site de um conhecido jornalista especialista em segurança, Brian Krebs, segue ativo. E, para usar um termo em voga atualmente, sofreu mutações, dando origem a variantes como Okiru, Satori, Masuta e PureMasuta.

Todas essas variantes têm o mesmo objetivo: infectar hardware, software e canais de comunicação associados à Internet das Coisas (IoT). Segundo análise da Intel471, empresa de inteligência em ciberameaças, agentes mal-intencionados estão não apenas criando grandes botnets usando a IoT, mas também roubando dados confidenciais de dispositivos IoT para comercializá-los em mercados clandestinos. Esses agentes, cujos alvos estão principalmente na Europa e na América do Norte, também estão vendendo acesso a essas botnets de IoT a partir do código do Mirai, formando seu próprio ecossistema.

Em 2020 e 2021, a Intel471 observou um aumento dos ataques a equipamentos IoT. Muitas botnets derivados do Mirai, como BotenaGo, Echobot, Gafgyt, Loli, Moonet, Mozi e Zeroshell, estão ativas desde o início da pandemia de COVID-19 no início de 2020 e continuaram evoluindo ao longo de 2021. Citando números, o relatório FortiGuard Labs Global Threat Landscape destaca que a porcentagem de organizações que detectaram atividade de botnets saltou de 35% no início de 2021 para 51% em meados do ano passado. E, como o total de dispositivos IoT conectados em todo o mundo deverá crescer ano a ano, a superfície de ataque para essas botnets aumentará proporcionalmente – e, com ela, os riscos de invasão.

Para combater pragas como a Mirai, a Intel 471 recomenda implementar processos de monitoramento dos dispositivos IoT, realizar auditorias de cibersegurança com frequência, alterar rotineiramente credenciais e chaves e manter ciclos de aplicação de patches.

Crescendo sem segurança

Cada vez mais, fornecedores de diversas classes de dispositivos IoT estão agregando funcionalidades online que, quando não gerenciadas e atualizadas adequadamente, podem criar pontos vulneráveis e, consequentemente, abrir portas para invasores.

Apenas para citar uma área de atividade, em ambientes de cuidados da saúde, 53% dos instrumentos médicos conectados e dispositivos IoT apresentam vulnerabilidades críticas, segundo um relatório da Cynerio. Nesse estudo, foram avaliados dados de mais de 10 milhões de dispositivos IoT e IoMT em mais de 300 hospitais e instalações de saúde em todo o mundo.

A bomba de infusão é o tipo de dispositivo conectado mais comum em hospitais, podendo conectar-se remotamente a registros médicos eletrônicos, identificar a dosagem correta de do medicamento a ministrar ao paciente. Portanto, é também o dispositivo com mais chance de sofre ataques quando apresentando vulnerabilidade. 

Vulnerabilidades em dispositivos IoT – e portanto ataques de botnets – podem ser registrados em vários segmentos, além do ambiente médico, visto que são encontradas, muitas vezes, em sistemas operacionais amplamente usados na Internet das Coisas. Por exemplo, a classe de malware direcionado a Linux – um dos principais sistemas de código aberto usados por dispositivos IoT – atingiu um novo recorde em 2021, de acordo com um relatório da Crowdstrike. O crescimento dos ataques foi de 35% em 2021 em comparação com 2020.

Espera-se que essa escalada dos ataques direcionados à Internet das Coisas – e, em paralelo, o aumento das regulamentações para barrar as ameaças a empresas e nações – impulsione ainda mais o mercado global de segurança da IoT. A expectativa é que o mercado mundial de segurança da IoT apresente uma taxa composta de crescimento anual de 26,7% entre 2020 e 2028, alcançando o valor de US$ 88 bilhões ao final do período, segundo análise da Emergen Research.

Por fim, lembra-se do jornalista Brian Krebs, vítima da estreia do malware Mirai? Pois é, em setembro de 2021, seu site foi novamente atingido por um ataque DDoS, muito maior do que a versão Mirai de 2016 que manteve o KrebsOnSecurity off-line por quase quatro dias. A invasão de 2021 parece ter sido realizada quase exclusivamente por um botnet de grandes dimensões composta de dispositivos IoT hackeados. Moral da história: fique de olho, seu dispositivo IoT pode ser o mais novo membro de uma cibergangue.

Como se proteger do Mirai

Mirai, como outros botnets, usa exploits conhecidos para atacar dispositivos e comprometê-los. Ele também tenta usar credenciais de login padrão conhecidas para trabalhar no dispositivo e assumi-lo. Portanto, suas três melhores linhas de proteção são diretas.

Sempre atualize o firmware (e software) de qualquer coisa que você tenha em sua casa ou local de trabalho que possa se conectar à internet. Hacking é um jogo de gato e rato, e assim que um pesquisador descobre um novo exploit, os patches seguem para corrigir o problema. Botnets como esse prosperam em dispositivos não corrigidos, e essa variante do Mirai não é diferente. 

Altere as credenciais de administrador dos seus dispositivos (nome de usuário e senha) o mais rápido possível. Para roteadores, você pode fazer isso na interface da Web do seu roteador ou no aplicativo móvel (se houver). Para outros dispositivos nos quais você faz login com o nome de usuário ou senha padrão, consulte o manual do dispositivo.

Se você puder fazer login usando admin, senha ou um campo em branco, será necessário alterar isso. Certifique-se de alterar as credenciais padrão sempre que configurar um novo dispositivo. Se você já configurou os dispositivos e não alterou a senha, faça isso agora. Esta nova variante do Mirai tem como alvo novas combinações de nomes de usuário e senhas padrão.

Se o fabricante do seu dispositivo parou de lançar novas atualizações de firmware ou codificou as credenciais do administrador e você não pode alterá-las, considere substituir o dispositivo.

A melhor maneira de verificar é começar no site do fabricante. Encontre a página de suporte do seu dispositivo e procure quaisquer avisos sobre atualizações de firmware. Verifique quando o último foi lançado. Se já faz anos desde uma atualização de firmware, o fabricante provavelmente não oferece mais suporte ao dispositivo.

Você também pode encontrar instruções para alterar as credenciais de administração no site de suporte do fabricante do dispositivo. Se você não encontrar atualizações recentes de firmware ou um método para alterar a senha do dispositivo, provavelmente é hora de substituir o dispositivo. Você não quer deixar algo permanentemente vulnerável conectado à sua rede, não é mesmo?