Recursos/White Papers

Notícias

IoT: Brasil é o quarto país em ataques baseados no uso de servidores C&C

Criminosos locais ganharam alcance global graças ao uso desses servidores Command & Control para identificar e escravizar dispositivos IoT como câmeras de vídeo, Smart TVs e roteadores WiFi

Da Redação

Publicada em 06 de novembro de 2017 às 19h34

Os dispositivos IoT estão se tornando a opção predileta dos cibercriminosos para a construção de botnets. Há literalmente bilhões deles no mundo, a maioria dos quais facilmente acessíveis (via Telnet) e pirateados (devido à falta de controles de segurança). Não por acaso, as chamadas "thingbots" já são apontadas por muitas empresas de segurança como componentes principais da futura  infraestrutura da darknet. E a terceira edição do estudo "The Hunt for IoT", da F5, aponta o Brasil como o quarto país a partir do qual são disparados mais ataques massivos baseados em servidores C&C. Só perdemos para o Reino Unido, a Itália e a Turquia. 

O levantamento da F5, baseado em um levantamento realizado pelos cinco SOCs (Security Operation Center) da F5, mapeia tanto a infraestrutura IoT transformada em ThingBots pelos hackers como, também, a presença de servidores C&C (Command & Control) no Brasil. Esses servidores identificam ativamanente e subjugam dispositivos IoT, transformando câmeras de vídeo, roteadores Wi-Fi, dispositivos de acesso à TV a cabo, Smart TVs, etc, em zumbis a serviço do crime. Os servidores C&C podem ser desde sistemas residentes em clouds até máquinas de empresas PME, com menor cultura de segurança, sequestradas pelos hackers e transformadas em rede a serviço do crime.

“O crescimento de servidores C&C em operação no Brasil mostra que hackers locais estão mais capacitados, passando a emitir comandos para criação de botnets baseados na infraestrutura IoT local ou global”, ressalta Michel Araújo, gerente da vertical Telecom e Service Providers da F5 Brasil.

Essa profissionalização dos hackers locais, segundo a F5, faz com que os ataques digitais sejam, acima de tudo, um negócio, e um negócio com custos, lucros, serviços, etc. “Quanto maior o número de servidores C&C de uma gangue digital, mais impactante será a botnet criada e a possibilidade de pedir todos os tipos de vantagens (inclusive políticas) em razão do poder dos hackers de imobilizar negócios, governos, etc”, afirma o executivo.

A pesquisa Hunt for IoT report foi realizada em junho deste ano, quando os SOC da F5 rastrearam a ação da ThingBot Persirai – o mapa da pesquisa indica os pontos onde há servidores C&C/Persirai. 

A ThingBot Persirai, originada principalmente de uma nova e potente câmera de vídeo chinesa do mesmo nome, infectou, em 30 de junho de 2017, 600 mil dispositivos digitais IoT.

 “O levantamento feito por nossos SOC mostra que São Paulo e Rio de Janeiro se destacaram no mapa, o que indica atividades criminosas ligadas à Persirai acontecendo nessas cidades”, explica Araújo.

Persirai1

Persirai2

Em 2016, a mesma pesquisa mostrou que a infraestrutura IoT presente no Brasil era a quarta mais usada por hackers para montar botnets para ataques DDoS.  A grande novidade da pesquisa deste ano é o uso crescente de servidores C&C no Brasil, mais especificamente, em São Paulo e Rio de Janeiro. “Isso comprova que hackers estão comandando mais ataques a partir do nosso país; a ação desses hackers por meio de seus servidores C&C tanto pode ser sobre dispositivos IoT instalados no Brasil como em qualquer lugar do mundo”, resume Araújo.

Dados Globais

Aqui estão os principais achados com base na análise de dados coletados entre 1 de janeiro e 30 de junho de 2017:

• Foram lançados 30,6 milhões de ataques de força bruta IoT.

• A atividade de ataques Telnet cresceu 280% em relação ao período anterior, entre 1 de julho a 31 de dezembro de 2016. Os dados incluem os ataques usando o malware Mirai e os ataques subseqüentes.

• O nível de atividade de ataque no momento da publicação do estudo indica que existem outras coisas que estão sendo construídas, além do Mirai ou Persirai, que ainda não conhecemos. 

• 93% dos ataques deste período ocorreram em janeiro e fevereiro. As atividades dos hackers diminuíram significativamente entre março e junho. Isso pode significar que a fase de "recon" do atacante tenha terminado e que a fase de "construir somente" tenha começado. 

• O principal país atacante neste período de relatório foi a Espanha, lançando 83% de todos os ataques, enquanto a atividade da China, o principal país atacante dos dois períodos anteriores, caiu significativamente, contribuindo com menos de 1% do volume de ataque total. (A China limpou os sistemas IoT comprometidos?)

• A Espanha realizou 25,5 milhões de ataques entre 1 de janeiro e 30 de junho. Muitos outros países participaram de ataques durante o período de seis meses, no entanto, nenhum deles contribuiu com mais de de 1%.  Os 4 maiores atacantes depois da Espanha foram Índia, Rússia, Coréia do Sul e Seychelles. A China passou a ocupar a oitava posição.

• Os 10 principais endereços IP de ataque vieram de uma rede de provedores de hospedagem na Espanha: a SoloGigabit.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui