Detectado pela primeira vez em 2016, o *botnet* Mirai invadiu um número sem precedentes de aparelhos, causando estragos significativos na internet. Agora, ele ressurge, apresentando-se ainda mais ameaçador.
O Novo Mirai: Mais Intenso e Abrangente
Em 18 de março de 2019, especialistas em segurança da Palo Alto Networks revelaram que o Mirai foi reconfigurado e aprimorado para alcançar seus objetivos em uma escala muito maior. Descobriu-se que o Mirai estava empregando 11 novos mecanismos de exportação (totalizando 27) e uma nova lista de credenciais de administrador padrão para tentativas de invasão. Algumas das modificações visavam diretamente equipamentos comerciais, como as TVs LG Supersign e sistemas de apresentação sem fio WePresent WiPG-1000.
A capacidade do Mirai de controlar equipamentos comerciais e comandar redes corporativas pode torná-lo ainda mais potente. Como Ruchna Nigam, pesquisadora de ameaças sênior da Palo Alto Networks, observou:
Essas novas funcionalidades ampliam consideravelmente a superfície de ataque do *botnet*. Além disso, o direcionamento a links corporativos possibilita o acesso a uma largura de banda superior, o que aumenta a capacidade de fogo do *botnet* em ataques DDoS.
Esta nova versão do Mirai continua a atacar roteadores, câmeras e outros dispositivos conectados à rede. Para fins destrutivos, quanto maior o número de dispositivos infectados, melhor. Curiosamente, a carga maliciosa estava hospedada em um site que promovia uma empresa de “Segurança eletrônica, integração e monitoramento de alarme”.
Mirai: Um *Botnet* com Foco em Dispositivos IoT
Em 2016, o *botnet* Mirai parecia estar por toda parte. Ele atacava roteadores, sistemas DVR, câmeras IP e uma variedade de outros dispositivos, frequentemente referidos como dispositivos da Internet das Coisas (IoT), que incluem itens simples como termostatos conectados à internet. Os *botnets* operam infectando grupos de computadores e outros dispositivos conectados, forçando-os a atacar sistemas ou realizar outras ações de forma coordenada.
O Mirai visava dispositivos com credenciais de administrador padrão, seja porque ninguém as havia alterado ou porque o fabricante as havia programado. O *botnet* assumiu o controle de uma grande quantidade de dispositivos. Mesmo que a maioria dos sistemas não fosse muito poderosa individualmente, a quantidade massiva trabalhava em conjunto para realizar muito mais do que um computador zumbi potente isoladamente.
O Mirai controlou quase 500.000 dispositivos. Com essa rede de dispositivos IoT, o Mirai causou a interrupção de serviços como o Xbox Live e o Spotify, além de sites como a BBC e o Github, atacando diretamente provedores de DNS. Com tantos dispositivos comprometidos, a Dyn (um provedor de DNS) foi derrubada por um ataque DDoS que gerou 1,1 terabytes de tráfego. Um ataque DDoS funciona sobrecarregando um alvo com um grande fluxo de tráfego da internet, excedendo sua capacidade de suporte. Isso faz com que o site ou serviço da vítima fique lento ou completamente indisponível.
Os criadores originais do software *botnet* Mirai foram presos, declarados culpados e condenados a liberdade condicional. Por um tempo, o Mirai foi neutralizado. No entanto, o código sobreviveu e foi utilizado por outros criminosos para alterar e adequar o Mirai a seus propósitos. Agora, uma nova versão do Mirai está em atividade.
Como se Proteger do Mirai
O Mirai, como outros *botnets*, se aproveita de vulnerabilidades conhecidas para invadir e comprometer dispositivos. Ele também tenta utilizar credenciais de login padrão conhecidas para acessar e controlar os dispositivos. Portanto, as três principais medidas de proteção são bem claras.
Mantenha sempre o *firmware* (e o *software*) atualizados em todos os dispositivos que se conectam à internet em sua casa ou trabalho. A segurança cibernética é um jogo constante de gato e rato. Assim que um pesquisador descobre uma nova vulnerabilidade, correções (patches) são criadas para solucionar o problema. *Botnets* como este prosperam em dispositivos desatualizados, e essa nova variante do Mirai não é exceção. As vulnerabilidades direcionadas a equipamentos empresariais foram identificadas em setembro de 2017.
Altere as credenciais de administrador (nome de usuário e senha) de seus dispositivos assim que possível. Para roteadores, essa mudança pode ser feita na interface web ou no aplicativo móvel (se disponível). Para outros dispositivos que exigem login com nome de usuário ou senha padrão, consulte o manual do dispositivo.
Se você pode fazer login usando “admin”, “senha” ou um campo em branco, é essencial alterar isso. Certifique-se de modificar as credenciais padrão sempre que configurar um novo dispositivo. Se você já configurou seus dispositivos e se esqueceu de mudar a senha, faça isso agora. Essa nova versão do Mirai visa novas combinações de nomes de usuário e senhas padrão.
Caso o fabricante do dispositivo tenha interrompido o lançamento de novas atualizações de *firmware* ou tenha programado as credenciais de administrador sem permitir alterações, considere a substituição do dispositivo.
A melhor maneira de verificar é começar no site do fabricante. Procure a página de suporte do seu dispositivo e veja se há avisos sobre atualizações de *firmware*. Verifique a data do último lançamento. Se já se passaram anos desde a última atualização, é provável que o fabricante não ofereça mais suporte ao dispositivo.
Você também pode encontrar instruções para alterar as credenciais de administrador no site de suporte do fabricante do dispositivo. Se você não encontrar atualizações de *firmware* recentes ou uma forma de alterar a senha do dispositivo, é aconselhável substituí-lo. Não é recomendável manter algo permanentemente vulnerável conectado à sua rede.
Se a última atualização de *firmware* que encontrar for de 2012, você deve substituir seu dispositivo.
Substituir seus dispositivos pode parecer uma medida drástica, mas se eles estiverem vulneráveis, é a melhor opção. *Botnets* como o Mirai não desaparecerão. É essencial proteger seus dispositivos. Ao proteger seus próprios dispositivos, você também estará protegendo o restante da internet.