A Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point Software Technologies, descobriu uma campanha de ciberataques que visa explorar múltiplas vulnerabilidades em dispositivos Linux. A intenção é usar estas máquinas como botnets, controlando-as remotamente para distribuir malware.
Os cibercriminosos estão usando uma nova variante chamada "FreakOut", capaz de escanear portas e que pode tirar conexão, coletar informações, rastrear redes, lançar ataques DDoS e até para criptografia de atividade de mineração em máquinas infectadas (o que pode potencialmente desligar sistemas inteiros infectados).
Se os cibercriminosos explorarem com sucesso, cada dispositivo infectado pode ser usado como uma plataforma para lançar outros ciberataques, usar recursos do sistema para minerar criptomoedas, disseminar vírus lateralmente pela rede de uma empresa ou lançar ataques contra alvos externos se passando por uma empresa afetada.
Os ataques são direcionados a dispositivos Linux que executam um dos seguintes produtos, todos com vulnerabilidades relativamente novas que são exploradas pelo malware FreakOut, se os mesmos não tiverem sido corrigidos:
TerraMaster TOS (TerraMaster Operating System), um conhecido fornecedor de dispositivos de armazenamento de dados.
Zend Framework, uma coleção popular de pacotes de biblioteca, usada para construir aplicativos da web.
Liferay Portal, um portal corporativo gratuito e de código aberto com recursos para o desenvolvimento de portais e websites.
A cadeia do ciberataque FreakOut
Até o momento, os pesquisadores da Check Point conseguiram rastrear 185 sistemas infectados e detectaram mais de 380 tentativas de ataque adicionais. Por país, os Estados Unidos sofreram 27% de todas as tentativas de ataque, à frente da Itália (6,61%) e da Grã-Bretanha (5,46%), enquanto o Brasil (3,74%) está na sexta posição. Os setores mais afetados são o financeiro (26,47%), de governo e militar (23,53%) e saúde (19,33%).
Os pesquisadores da Check Point ainda procuram confirmar a identidade do cibercriminoso por trás desse ataque. Eles identificaram algumas indicações que remetem a um possível hacker conhecido como "Fl0urite" ou "Freak", o qual tem uma longa história de cibercrime.