Articles

Novo IoT botnet oferece DDoSes de outrora inimagináveis tamanhos para $20

Novo IoT botnet oferece DDoSes de outrora inimagináveis tamanhos para $20

Os organizadores de uma nova botnet composta de infectados domésticas e de pequenas roteadores são descaradamente venda de negação de serviço ataques de uma vez inimaginável volumes por apenas us $20 por destino.

Auto-intitulando-se “Los Calvos de San Calvicie”, o grupo está publicitando vários serviços neste site. Entre os serviços estão distribuídos ataques de negação de serviço de 290 a 300 gigabits por segundo por $20 cada. Enquanto um terço do tamanho de alguns dos maiores ataques registrados, 290Gbps ainda é suficiente para derrubar a maioria dos sites, a menos que eles procurem serviços de mitigação DDoS, que em muitos casos custam quantias consideráveis de dinheiro. Há apenas cinco anos, 300Gbps foram considerados volume suficiente para desligar a infra-estrutura central da Internet.

Los Calvos de San Calvicie membros foram vistos montagem de uma botnet nos últimos dias que, muito possivelmente, tem o poder de fogo necessário para entregar o potentes ataques prometido. De acordo com Pascal Geenens, um pesquisador da empresa de segurança Radware, o grupo está construindo o botnet explorando duas vulnerabilidades: uma RealTek roteadores execução fora-de-data de firmware e o outro no Huawei HG532 roteador, onde um patch lançado em dezembro ainda tem de ser instalado por muitos usuários. Ambas as vulnerabilidades também são exploradas por um botnet de Internet-of-things conhecido como Satori.Ao contrário da maioria dos botnets IoT vistos até agora, o rastreado por Geenens, que ele está chamando de JenX, usa um punhado em servidores não-IoT para digitalizar a Internet para dispositivos vulneráveis e, uma vez encontrados, para explorá-los. Isso torna muito mais difícil estimar o número de dispositivos infectados que compõem a JenX, porque os roteadores vulneráveis simulados que Geenens usa em seu laboratório para rastrear a botnet vêem o mesmo número limitado de servidores de ataque.Em contraste, Mirai, Satori, Reaper e outros botnets da IoT dependem de dispositivos infectados para localizar e infectar dispositivos vulneráveis. Isso permite que melipots como Geenens para estimar o tamanho do botnet com base no número de IPs fazendo a varredura. JenX recebe seu nome de “Jennifer”, o nome que os desenvolvedores de malware deram ao binário que infecta dispositivos vulneráveis.

Devine Stream

Geenens said the main purpose of the botnet is to attack people playing the online game Grand Theft Auto on certain fee-charging servers. Que por sua vez pode aumentar a demanda por hospedagem de jogos por sancalvicie.com é o mesmo domínio que dá acesso ao servidor de comando e controlo JenX. Ele se anuncia como sendo resistente aos tipos de ataques que Mirai e JenX usam para derrubar hosts rivais. É também o mesmo domínio publicitando os Serviços DDoS-for-hire, que parecem ser um negócio paralelo ao jogo de hospedagem.

o grupo de língua espanhola tem apelidado seu serviço DDoS Corriente Divina, que se traduz em “fluxo divino”.”Uma tradução em inglês da linha de tag service é” a ira de Deus será empregada contra o IP que você nos fornece.”

Ver mais

O grupo dispõe de fonte de consulta do mecanismo de inundações e de 32 bytes, as enchentes, que são tipos de ataques DDoS que são particularmente eficazes em trazendo muitos tipos de jogos e serviços. O serviço DDoS também inclui uma opção “Down OVH”, uma referência provável ao Provedor de hospedagem baseado na França que é conhecido por hospedar servidores para jogos multi-jogadores, incluindo Minecraft. A OVH foi um alvo nos ataques de 2016 perpetrados por botnets, incluindo Mirai, que bateu no provedor de nuvem com 1,1 terabits por segundo de tráfego de lixo, um recorde na época. Ironicamente, nos últimos dias, a Jennifer binary entregue aos roteadores explorados foi hospedada em um endereço IP pertencente à OVH, disse Geenens.

JenX é um exemplo da segunda geração de botnets IoT. Como Mirai, ele se baseia no vasto número de roteadores, câmeras e outros dispositivos com capacidade de rede que populam a Internet. Essa oferta dá aos botnets quantidades formidáveis de largura de banda distribuída que têm a capacidade coletiva de paralisar grandes faixas da Internet. Uma fraqueza no Mirai, no entanto, foi a sua confiança em senhas padrão para assumir o controle de dispositivos. Uma vez que as senhas são alteradas—seja por fabricantes ou proprietários de dispositivos—Mirai torna-se ineficaz.

JenX, Satori, Reaper, and other second-generation IoT botnets have got around this limitation by exploiting firmware vulnerabilities in Internet-connected devices. O mecanismo de infecção é potencialmente muito mais eficaz porque a maioria dos dispositivos IoT executam firmware baseado em Linux que está geralmente desactualizado na hora do envio. Muitos dispositivos não podem ser atualizados. Muitos outros que podem ser atualizados são proibitivamente difíceis de fazer para a maioria das pessoas. Isso deixa os botnets IoT de segunda geração com milhões de dispositivos para assumir o controle usando façanhas confiáveis que são muitas vezes disponíveis on-line.

Propaganda

JenX é diferente da maioria dos IoT botnets, porque, como mencionado anteriormente, depende de servidores centralizados para procurar e explorar dispositivos vulneráveis. Isto significa que é provável que a sua taxa de crescimento se mantenha constante. Em um e-mail, Geenens escreveu:

o potencial para este botnet é comparável a Satori, uma vez que ele usa as mesmas façanhas. No entanto, a taxa de crescimento deste bot não vai ser tão alta como Satori porque Satori está usando bots que cada digitalização e explorar por si—de modo mais bots, mais scanners, mais vítimas, ainda mais bots, ainda mais scanners, etc…. taxa de crescimento exponencial para os botnets Mirai, Satori e Reaper. A jenx botnet usa servidores para a digitalização e exploração de dispositivos, de modo que o crescimento será menos do que linear. Adicionando mais servidores eles podem fazê-lo crescer mais rápido, mas nunca será tão eficiente e agressivo como Mirai, Satori e Reaper.

Geenens publicou um relatório completo de suas últimas descobertas aqui.Na época em que este post estava em direto, Geenens disse à Ars que equipes de abuso na LeaseWeb Holanda e na Leaseweb Alemanha derrubaram alguns dos servidores de exploração JenX que haviam sido hospedados em seus datacenters. Geenens disse que o servidor C&C permanece operacional, assim como outros servidores exploit.

publicidade

“isso só está enviando a eles a mensagem que eles precisam para se esconderem melhor de nós”, escreveu o pesquisador em um e-mail, referindo-se às operadoras JenX. “Não é assim tão fácil derrubar um grupo de hackers qualificados—eles estão aprendendo com seus erros agora. Eles podem trazer sua operação para a darknet, que é outro benefício de usar servidores de exploração centralizada.”