Recentemente foi descoberto um novo botnet, denominado Reaper ou IoTroop, que tem o potencial de ser uma ameaça ainda maior de malware para IoT (Internet das Coisas) do que o Mirai, o atual recordista de ataque DDoS com estes dispositivos. Embora não existam relatórios confirmados de que o Reaper tenha sido usado para lançar um ataque, pesquisadores de segurança avisam que isso pode ser apenas uma questão de tempo.
Pesquisas da Check Point anunciaram a descoberta do Reaper em 19 de outubro, afirmando que já pode ter infectado "aproximadamente um milhão de empresas " e poderia potencialmente "derrubar a internet". O novo malware, segundo a Check Point, está "evoluindo e recrutando dispositivos IoT em um ritmo muito maior e com mais danos potenciais que o Mirai, de 2016."
Diferente do Mirai, que usou nome de usuário e senhas de fábrica ou padrão para se infiltrar em dispositivos IoT, o Reaper aproveita falhas de segurança conhecidas de fabricantes como AVTECH, D-Link, Netgear, Linksys e outros, de acordo com a KrebsOnSecurity. A Netlab 360 listou as vulnerabilidades que o Reaper explora em uma postagem de seu blog.
Para agravar a situação, o Reaper é um worm, projetado para se espalhar de um dispositivo infectado para outro dentro das redes, algo similar ao Petya, que aterrorizou usuários de Windows no início do ano.
Infiltração em IoT
O que faz o Reaper e outros ataques baseados em IoT particularmente assustadores é a sua amplitude e sofisticação. Por exemplo, os ataques de IoT não dependem de spoofed IP (falsificação de remetentes) para criar ataques amplos. Em vez disso, eles são end points reais com endereços IP reais, tornando mais difícil bloquear individualmente cada dispositivo que está enviando tráfego de ataque. Além disso, os ataques de IoT são amplamente distribuídos e cada IP deve ser tratado de forma diferente – uma organização não pode simplesmente bloquear um segmento de rede ou o intervalo de IP de um país para se defender contra ele.
Ataques deste tipo podem ter uma força maior do que as estratégias de ataques tradicionais. Por exemplo, ataques DDoS anteriores usavam reflection (como DNS ou NTP) para criar volume, o que significa que milhares de resolvers abertos (caso de reflexão DNS) seriam enganados para gerar uma enorme carga de tráfego. Nos ataques de IoT, dispositivos criam tráfego único "inchando" o exército botnet em ataques gigantescos – pense nisso como tentar segurar um tsunami com um balde.
Tendo em vista que o ataque ao Dyn – provedor DNS – que usou o Mirai passou de 1 Terabyte por segundo, afetando a internet como um todo, os cenários de um ataque com o Reaper são os piores imagináveis.
Proteja-se
Se o Reaper tomar o mesmo caminho do Mirai e ser usado para iniciar ataques DDoS com IoT, é importante estar protegido.
A detecção e mitigação DDoS são indispensáveis na batalha contra botnets IoT e os ataques sofisticados de múltiplos vetores aos quais eles dão suporte. As organizações precisam de detecção rápida e cirúrgica, com mitigação ágil, para garantir que os serviços não sejam interrompidos e que o tráfego legítimo tenha passagem segura em meio a zona de guerra.
Além disso, as empresas devem implementar um modelo de proteção DDoS híbrido que combina a defesa on-premise com as da nuvem para combater as investidas de alto volume.
Outra medida preventiva é atualizar seus dispositivos. A atualização de dispositivos IoT com um novo código e o desligamento de recursos que envolvem a administração baseada em WAN podem ajudar a proteger os dispositivos do Reaper, caso ele "acorde". Falhar na atualização de dispositivos e desativar os recursos de WAN pode deixar sua senha de administrador exposta, independentemente de quão complexa seja.
Por fim, os avisos estão claros – como foram com WannaCry e Petya. Assim como há uma calmaria antes da tempestade, o Reaper está silenciosamente recrutando seu exército zumbi para fins ainda desconhecidos, por isso, esteja preparado.
Thiago Lima, engenheiro de Sistemas da A10 Networks.