No início de agosto, publicamos um artigo sobre uma campanha massiva de criptojacking que atingiu mais de 200.000 roteadores da marca MikroTik. De acordo com informações publicadas no Twitter pelo pesquisador Troy Mursch, os usuários do Brasil foram os mais afetados. Mas o problema não parou aí...
Apesar do fabricante dos roteadores ter lançado em abril um patch para essa vulnerabilidade, o problema é que, assim como ocorreu em agosto, muitos usuários ainda não atualizaram seus dispositivos e essa falha continua sendo explorado.
Na verdade, os pesquisadores da empresa chinesa Netlab.360 descobriram que dos cerca de 1,2 milhões de roteadores da MikroTik existentes, quase 370 mil ainda permanecem desprotegidos contra a vulnerabilidade CVE-2018-14847 e, entre 23 e 24 de agosto, já haviam mais de 7.500 roteadores infectados que poderiam permitir que cibercriminosos pudessem monitorar o tráfico, injetar uma cópia do script de mineração do Coinhive, ativar o servidor proxy socks4 nos roteadores e espionar esses usuários.
De acordo com os dados divulgados no início de setembro por Troy Mursch, quem investiga campanhas de criptojacking, nesta atual campanha, o malware responsável pela infeçção dos routeadores MikroTik intensificou sua atividade tanto nas CPUs como nos roteadores MikroTik em 80% e continuam nesse nível.
De acordo com dados obtidos, através da ferramenta Shodan, em 9 de setembro por Mursch, mais de 3.800 roteadores foram infectados, dos quais a maioria estavam na América do Sul. Neste sentido, assim como na campanha divulgada no início de agosto, o Brasil é o pais mais atingido com 2.612 roteadores infectados, seguido pela Argentina com 480, Equador com 214, e Colômbia com 120. Da mesma forma, outros países também foram afetados, como Rússia, Indonésia, Índia, Irã, Itália e Polônia.
Compromised #MikroTik routers found on @censysio (107,798) and @shodanhq (179,062).
Active #cryptojacking campaigns: 63
Coinhive: 43
WebMinePool: 7
CoinImp: 5
Crypto-Loot: 3
All others: 4Spreadsheet with lookup URLs:https://t.co/iL8uVgPQJ7 pic.twitter.com/yjDBKsVskV
— Bad Packets Report (@bad_packets) 10 de septiembre de 2018
Segundo comentou Mursch para o portal Bleeping Computer, é bem complicado saber exatamente qual a quantidade de dispositivos afetados porque os números estão mudando minuto a minuto.
Segundo um artigo publicado pelo site The Hacker News, a vulnerabilidade que está sendo explorada há vários meses tinha sido revelado por WikiLeaks como parte do lançamento da conhecida Vault 7.
Como podemos observar com este caso dos roteadores da marca MikroTik, os cibercriminosos se aproveitam de vulnerabilidades antigas, uma vez que sabem que podem ter a oportunidade de atingir seus alvos já que há muitos usuários que não instalam as atualizações nos dispositivos.
A recomendação é que todos os usuários que tenham um roteador MikropTik baixem e instalem o patch que os protege contra essa vulnerabilidade. A atualização pode ser encontrar aqui.