Principais ameaças do panorama de botnets de 2024

O nosso último post sobre botnets explorou a terminologia, as arquiteturas e as capacidades destas versáteis ferramentas de ataque. Este post irá analisar mais de perto as botnets mais dominantes do último ano.

A maior botnet conhecida foi a 911 S5 botnet que foi desmantelada em 2024. No seu auge, tinha cerca de 19 milhões de bots ativos a operar em 190 países. A 911 S5 era propagada através de aplicações VPN infetadas, como MaskVPN, DewVPN, ShieldVPN, e algumas mais. Uma botnet pode incluir computadores pessoais, servidores empresariais, dispositivos móveis e dispositivos da Internet das Coisas (IoT) como termostatos inteligentes, câmaras e routers. A composição da botnet depende do malware. Por exemplo, a nova botnet Eleven11bot usa apenas dispositivos baseados em HiSilicon com o software TVT-NVMS9000, porque o malware está projetado para explorar uma única vulnerabilidade presente nestes dispositivos. Isto limita a composição e o tamanho da botnet, embora o botmaster possa estar a adicionar novas capacidades para expandir a rede.

Os danos causados por ataques de botnet manifestam-se de várias formas: interrupções nos negócios, operações generalizadas de roubo de dados, campanhas de distribuição de ransomware e até atividades de cryptojacking, onde os recursos computacionais são sequestrados para mineração de criptomoedas. Os efeitos em cascata desses ataques incluem violações de dados, perdas financeiras e danos à reputação que podem levar anos a superar.

Botnets, botmasters e capacidades estão sempre a mudar. Tal como as ameaças de ransomware, os botmasters e os atores de ameaças afiliados querem expandir o alcance dos seus ataques. Podem especializar-se num tipo específico de crime, mas melhorarão as suas operações para infectar mais dispositivos e adicionar redundância às suas redes. Não está claro quantos botnets estão ativos ao mesmo tempo, ou quantos surgem ou são interrompidos a cada ano. A atividade de botnets é tipicamente medida por métricas de ataque em vez do número e tamanho dos botnets. No entanto, um estudo recente descobriu que a atividade de botnets está a tornar-se mais forte e destrutiva. Algumas conclusões chave:

• O número total de ataques DDoS em 2024 aumentou 53% em comparação com 2023.
• O ataque DDoS mais poderoso de 2024 atingiu um pico de 1,14 Tbps, o que é 65% superior ao recorde do ano anterior de 0,69 Tbps.
• A maior botnet que detetámos em 2024 consistia em 227,000 dispositivos (em comparação com a maior botnet em 2023, que incluía “apenas” cerca de 136,000 dispositivos). Este rápido crescimento no tamanho das botnets é atribuído ao aumento do número de dispositivos desatualizados em países em desenvolvimento.

O estudo também descobriu que os ataques multivetoriais aumentaram 8% ao longo de 2023, o que significa que o ataque é suficientemente sofisticado para atingir o mesmo alvo de várias maneiras. Abordaremos os ataques multivetoriais numa publicação futura.

Principais botnets de 2024

Não podemos entrar em todos os botnets que estiveram ativos no último ano, mas podemos explorar alguns deles. Estes são alguns dos mais dominantes de 2024.

Botnet Phorpiex

Phorpiex tem estado ativo há mais de uma década, com exceção de cerca de cinco meses em 2021, quando o operador original encerrou a rede e vendeu o código-fonte.

Voltou a estar online em dezembro daquele ano, embora tenha ressurgido como uma variante chamada 'Trik' ou 'Twizt'. A nova versão podia operar em modo peer-to-peer, o que adicionou resiliência ao remover a necessidade de servidores de comando e controlo (C2C). O Phorpiex é utilizado principalmente para distribuir ransomware através de campanhas de spam maciças. Também tem sido particularmente associado a campanhas de sextorsão e à entrega de cargas de malware e ransomware. Em abril de 2024, o New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) identificou uma campanha de ransomware com a marca LockBit entregue pelo botnet Phorpiex. Este foi um dos ataques Phorpiex mais notáveis em 2024.

Este malware passou por várias iterações para se manter à frente das medidas de segurança. As atualizações geralmente concentram-se em melhorar as capacidades de distribuição de spam da botnet e em aumentar a sua capacidade de entregar eficazmente outros pacotes de malware. Os operadores aproveitaram inteligentemente o teletrabalho no auge da pandemia, explorando falhas em aplicações como o Zoom. As informações capturadas através destes métodos foram utilizadas para afinar o seu material de extorsão.

Phorpiex não é a botnet mais sofisticada, mas a sua utilização na distribuição de ransomware e em campanhas de phishing fez dela uma das principais ameaças baseadas em volume de 2024.

Androxgh0st Botnet

Androxgh0st foi identificado por investigadores no final de 2022, embora possa ter estado ativo anteriormente. Analistas encontraram semelhanças de código com o malware botnet Mozi, e observaram Androxgh0st implantando cargas úteis Mozi contra dispositivos IoT. Esta é uma ligação significativa entre os dois, levando à teoria de que Androxgh0st foi uma integração ou evolução de Mozi. A botnet Mozi 'desapareceu' em agosto de 2023, e não se sabe definitivamente se Mozi foi encerrado ou se foi totalmente fundido com Androxgh0st. O Federal Bureau of Investigation (FBI) e a Cybersecurity and Infrastructure Security Agency (CISA) publicaram um Cybersecurity Advisory (CSA) conjunto em janeiro de 2024:

O malware Androxgh0st estabelece uma botnet para identificação e exploração de vítimas em redes vulneráveis, e tem como alvo ficheiros que contêm informações confidenciais, como credenciais, de várias aplicações de alto perfil.

Investigadores de segurança suspeitam “com baixa confiança” que o Androxgh0st é operado por atores de ameaça alinhados com os interesses da República Popular da China (RPC) e representa uma nova geração de botnets híbridos que combinam capacidades de múltiplas fontes. O botnet tem como alvo sistemas Windows, Mac e Linux, e explora computadores pessoais, servidores web e dispositivos IoT. Estas capacidades expandem o alcance do botnet através de redes e da internet global. Muitos consideram o Androxgh0st uma ameaça significativa para a infraestrutura crítica e a segurança nacional.

O que distingue este botnet são as suas amplas capacidades de exploração—alvo de vulnerabilidades em VPNs, firewalls, routers e aplicações web, conferindo-lhe uma versatilidade excecional na compromissão de diferentes tipos de sistemas. Esta adaptabilidade torna-o particularmente desafiante de defender. O Androxgh0st é conhecido pela diversidade do seu portfólio de ataques, incluindo ataques DDoS, operações de roubo de dados e roubo de credenciais focadas na nuvem.

Botnet Gafgyt (Bashlite)

Gafgyt, originalmente chamado Bashlite, é uma botnet que afeta dispositivos IoT e sistemas baseados em Linux. Foi observada pela primeira vez por volta de 2014 e adaptou-se com sucesso aos avanços na cibersegurança e inteligência de ameaças. Existem várias variantes, incluindo algumas que incorporaram código da botnet Mirai para expandir as capacidades de comando e ataque. As botnets baseadas em Gafgyt são capazes de ataques de força bruta e DDoS, roubo de credenciais e criptomineração com GPU. Gafgyt também eliminará qualquer malware concorrente já encontrado no sistema.

Em 2024, o Gafgyt começou a direcionar ambientes nativos da cloud, permitindo-lhe realizar operações mais intensivas em CPU. Tem sido particularmente eficaz a infetar routers sem fios de fabricantes como TP-Link e Zyxel. Atualmente, é operado como um botnet-as-a-service (BaaS) e está ligado a um agente de ameaça chamado Keksec, também conhecido como FreakOut.

O Gafgyt explora palavras-passe fracas e vulnerabilidades conhecidas em dispositivos IoT e ambientes de cloud. Atualmente, parece ter um duplo foco de gerar receita através de cryptomining enquanto mantém a capacidade de lançar ataques DDoS poderosos e multivetoriais. Isto torna-o atrativo para criminosos que procuram múltiplas fontes de receita através de uma única operação *-as-a-service.

Mirai Botnet

Mirai tem uma história interessante. Foi criada em 2016 por Paras Jha, Josiah White e Dalton Norman. Jha e seus associados desenharam o Mirai para lançar ataques DDoS contra servidores rivais, oferecendo depois serviços de proteção a esses servidores através da sua empresa, ProTraf Solutions. Brian Krebs foi instrumental na investigação que levou os mestres do bot Mirai à justiça. Pode encontrar a cobertura de Krebs aqui e mais informações de fundo aqui.

A divulgação do código-fonte do Mirai foi um momento decisivo na cibersegurança. Considere os impactos imediatos e a longo prazo:

• As barreiras para lançar uma botnet foram reduzidas, porque qualquer pessoa com competências técnicas básicas podia usar o código Mirai como ponto de partida. Isto levou a um aumento de ataques DDoS e a uma proliferação de botnets híbridas que incorporavam capacidades do Mirai. O ataque de 2016 a Dyn usou uma variante do Mirai.
• Mirai expôs os riscos de usar credenciais e configurações padrão em dispositivos IoT. Antes da proliferação de Mirai e botnets, os riscos para dispositivos IoT eram apenas teóricos. A indústria acelerou os padrões de segurança de IoT após a divulgação.
• O código vazado tornou-se um acelerador para novas ameaças. Ao começar com um malware de botnet funcional, os atores de ameaça puderam concentrar-se no desenvolvimento de novas capacidades como mineração de criptomoeda e ataques DDoS multivetoriais.

A Mirai é especializada em ataques DDoS poderosos lançados por dispositivos IoT. Vários fornecedores descobriram que cerca de 72% do novo malware IoT contém código Mirai. Isto pode ser atribuído à lógica original de força bruta e aos protocolos de comando e controlo, que geralmente são clonados em novas variantes.

Uma paisagem fluida

A ameaça global de botnets está sempre a mudar. Quando um botnet é neutralizado através de ações policiais ou medidas de segurança, novas variantes ou botnets completamente novos surgem rapidamente para preencher o vazio. Esta evolução constante apresenta desafios significativos para os defensores que precisam de proteger os ativos de ameaças desconhecidas atuais e futuras. No entanto, podemos identificar várias tendências chave no panorama dos botnets:

• Aumentando a especialização, com algumas botnets a focarem-se em tipos de ataques ou alvos específicos.
• Maior sofisticação nas técnicas de evasão, tornando a deteção e atribuição mais difíceis.
• A comercialização de capacidades de botnet através de modelos de "Botnet-as-a-Service".
• A convergência das capacidades de botnet, como múltiplos vetores de ataque ou fluxos de receita de um único botnet.
• Posicionamento estratégico de recursos de botnet em jurisdições com cooperação internacional limitada na aplicação da lei contra o cibercrime.

A proteção eficaz contra botnets resulta da combinação de soluções tecnológicas com a consciencialização humana e a preparação organizacional. Ao manter-se informado sobre as ameaças emergentes e implementar medidas de segurança abrangentes, as organizações e os indivíduos podem reduzir significativamente a sua vulnerabilidade a estas poderosas e persistentes ameaças de cibersegurança.

Mitigação e Proteção contra Bots

Proteger contra ameaças de botnets requer uma abordagem em várias camadas que aborde tanto a prevenção de infeções como a mitigação de ataques. Barracuda Advanced Bot Protection é a ferramenta definitiva para combater ataques de botnets multivetoriais. Ao fornecer mecanismos de defesa proativos, visibilidade aprimorada e controlos personalizáveis, capacita as empresas a protegerem as suas organizações e a manterem a sua vantagem competitiva num mundo cada vez mais automatizado.