A Storm Botnet surgiu no cenário da cibersegurança há 17 anos e se tornou um emblema desse tipo de ameaça. Aproveitando o aniversário dessa botnet, analisaremos quais foram as mais lembradas e o que está acontecendo atualmente com as que ainda estão ativas (ou estavam até pouco tempo).
O que é uma botnet?
Como sempre em qualquer história, é melhor começar pelo começo. Então, antes de mais nada, o que é uma botnet? O termo vem de duas palavras em inglês: "bot", que significa "robô", e "net", que vem de rede.
Resumindo, trata-se de uma rede de robots composta de duas partes: o painel de controle (de onde são centralizadas as ações a serem executadas) e o servidor (um pequeno programa de computador que estabelece a conexão com o centro de controle do cibercriminoso).
Entre suas funcionalidades está a capacidade de roubar arquivos, fazer upload de aplicativos, executar processos nos dispositivos das vítimas e obter as teclas digitadas em cada tecla do teclado por meio de um keylogger. O que torna esse tipo de ameaça diferenciada é o fato de permitir que o invasor execute instruções em vários dispositivos simultaneamente.
Quais são as botnets mais emblemáticos?
As botnets têm uma longa história e muitos deles tiveram um grande impacto e são lembrados até hoje.
O Storm Botnet, cujo 17º aniversário é em janeiro deste ano, é um dos mais emblemáticos. Por quê? Porque ele foi pioneiro em táticas que mais tarde seriam usadas por outras botnets. Seu alcance era imenso: dez milhões de computadores Windows. O tamanho da rede era tal que ela podia ser dividida e vendida para uma variedade de propósitos maliciosos, e os criminosos obtinham um lucro enorme.
Outro caso lendário foi o Conficker, que infectou milhões de máquinas Windows - fala-se em 15 milhões - e para o qual foi criada uma equipe especial para combatê-lo. Em fevereiro de 2009, quando essa ameaça já era uma epidemia que infectava milhões de sistemas, a Microsoft anunciou em um comunicado à imprensa uma recompensa de US$ 250 mil por "informações que levem à prisão dos responsáveis pela criação e disseminação da Conficker na Internet".
O Zeus também merece menção, pois não era apenas uma grande botnet em sistemas Windows, mas também tinha um componente que roubava códigos bancários on-line de uma variedade de dispositivos infectados (Symbian, Windows Mobile, Android e Blackberry). Embora a botnet tenha sido derrubada pela polícia dos EUA e seus parceiros do setor de tecnologia em 2012, seus autores originais pegaram partes de sua criação original e a reviveram sob o nome de Gameover Zeus, que mais tarde foi encerrada pelo FBI. A história não termina aí, pois a ameaça Cryptolocker foi disseminada por variantes do Zeus.
O que está acontecendo com as botnets atualmente?
Qualquer dispositivo conectado à Internet pode se tornar um alvo para cibercriminosos, e isso é reafirmado por alguns exemplos específicos que servem para entender o cenário atual das botnets e suas atividades mais recentes.
A botnet Mozi, recentemente desativada, era famosa por explorar vulnerabilidades em centenas de milhares de dispositivos de IoT todos os anos. Com base em redes P2P, ela comprometia dispositivos de IoT, principalmente roteadores domésticos Netgear DGN, DASAN Networks GPON, roteadores D-Link e servidores da Web Jaws.
Mas esse não é o único caso atual e relevante: em setembro de 2023, uma nova botnet de IoT, a Pandora, ganhou vida. É uma ameaça que compromete os dispositivos Android TV com malware baseado na botnet Mirai, para executar ataques DDoS.
De acordo com a telemetria da ESET, essa botnet, que foi detectada como Android/Pandora, tentou comprometer dezenas de milhares de dispositivos Android, principalmente na América Latina. Seu maior pico de atividade foi detectado em 8 de setembro, com mais de dois mil ataques, antes de diminuir para cerca de quinhentos por dia.
A Android/Pandora tem vários canais de distribuição principais: por meio de atualizações maliciosas de firmware pré-instaladas em TV Boxes Android pelo revendedor ou baixadas e instaladas por uma vítima involuntária; e principalmente por meio de sites que espalham aplicativos maliciosos com nomes como MagisTV, Tele Latino e YouCine. Aos olhos do usuário, esses aplicativos oferecem todas as funções e conteúdo prometidos, sem sinais óbvios de atividade maliciosa.
Como podemos nos proteger?
Em princípio, é essencial que você considere os dispositivos de IoT como um computador e tenha isso em conta. Ou seja, incorporar hábitos como alterar imediatamente a senha padrão e verificar regularmente se há patches de segurança.
Use senhas fortes e exclusivas, mantenha os sistemas atualizados e instale uma solução de segurança confiável para detectar e eliminar ameaças.
Além disso, é aconselhável usar a interface HTTPS sempre que possível e, se o dispositivo não estiver sendo usado, desligue-o. Se ele contiver outros protocolos de conexão que não sejam seguros, você pode usar o HTTPS. Se ele contiver outros protocolos de conexão que não estejam em uso, é melhor desativá-los.