O que é o botnet Mirai?
No final de 2016, na França, a empresa de telecomunicações OVH foi alvo de um ataque de negação de serviço distribuído (DDoS). Os especialistas ficaram surpresos ao ver que o ataque foi 100 vezes maior que ameaças semelhantes. No mês seguinte, mais de 175.000 sites foram afetados quando a Dyn, uma provedora de DNS (Domain Name System) gerenciado, foi atingida por outro potente ataque DDoS. Grande parte da costa leste dos Estados Unidos e algumas áreas da Europa experimentaram uma queda significativa na qualidade da Internet.
Alguns grupos de hackers, como Anonymous e New World Hackers, reivindicaram a responsabilidade como retaliação pelo fundador do WikiLeaks, Julian Assange, ter sido desconectado da Internet pelo governo equatoriano. No entanto, oficiais americanos e empresas de segurança duvidaram dessas afirmações. Uma coisa era certa. A arma por trás desses ataques era o malware do botnet Mirai.
O momento não podia ser pior. Com as eleições americanas se aproximando, havia receios de que o malware impactasse os eleitores. Especialistas especularam que o software malicioso era obra de um estado fora-da-lei com a intenção de manipular o processo democrático.
Não podiam estar mais longe da verdade.
Quem criou o botnet Mirai?
Três jovens chamados Paras Jha, Dalton Norman e Josiah White criaram o Mirai como parte de um golpe de Minecraft. O objetivo inicial deles era rodar um esquema de extorsão derrubando servidores de Minecraft e iniciando um esquema de proteção. Após o usuário 'Anna-senpai', que os investigadores acreditam ser um pseudônimo de Paras Jha, ter publicado o código-fonte do Mirai online, o botnet se transformou.
Como o botnet Mirai recebeu seu nome?
Mirai é um nome japonês que significa 'futuro'. De acordo com um chatlog entre Anna-senpai e Robert Coelho, um executivo da ProxyPipe.com, o botnet Mirai foi nomeado em homenagem à série japonesa de anime 'Mirai Nikki'.
Como o Mirai se espalha?
Vamos responder algumas perguntas urgentes como 'O que é um ataque DDoS?', 'O que é um botnet?' e 'O que é IoT?' antes de explicar como o botnet Mirai se espalhou.
Um botnet é uma rede de computadores sequestrados sob o controle de um ator de ameaça, tipicamente chamado de pastor de bots. A rede de computadores, ou bots, executa um script automatizado para realizar uma tarefa.
Botnets nem sempre servem atores maliciosos. Por exemplo, o experimento científico colaborativo SETI@home procurou vida extraterrestre por meio de um botnet voluntário. No entanto, os pastores de bots geralmente usam botnets para ataques como DDoS. Usando os extensos recursos dos muitos computadores em um botnet, eles enviam tráfego excessivo para um site ou serviço para sobrecarregá-lo e derrubá-lo.
O objetivo de um ataque DDoS pode ser desde travessura até ativismo ou extorsão. Por exemplo, os autores do Mirai queriam sabotar servidores críticos de Minecraft para vender serviços de mitigação de DDoS. Eles também teriam atacado a ProxyPipe.com porque ela oferecia serviços similares e era uma potencial concorrente.
O botnet Mirai era diferente de outros malware porque atacava dispositivos IoT em vez de computadores. IoT, é claro, é um nome chique para dispositivos que possuem sensores e software, permitindo que se comuniquem com outros dispositivos e sistemas. Mirai infectou dispositivos de consumo vulneráveis como câmeras inteligentes. Também transformou em arma roteadores baseados em Realtek.
Mirai escaneava a Internet em busca de alvos e quebrava sua segurança tentando combinações padrão de nome de usuário e senha. Não demorou muito para que Mirai infectasse centenas de milhares de dispositivos IoT em países ao redor do mundo e ganhasse um poder considerável. O ataque do Mirai em 2016 contra a OVH alcançou um surpreendente 1TBps.
Como o botnet Mirai foi interrompido?
De acordo com a TechTarget, o FBI descobriu as identidades dos criadores do Mirai através dos metadados ao redor de suas contas anônimas após uma extensa investigação. Não apenas o trio se declarou culpado de vários crimes cibernéticos, mas também concordou em ajudar a compensar. Uma de suas maiores contribuições foi construir um honeypot IoT chamado WatchTower. Um honeypot é essencialmente uma armadilha digital para malware e hackers.
O botnet Mirai ainda está ativo?
As autoridades podem ter capturado os criadores do Mirai, mas o espírito de seu botnet continua vivo. Numerosos grupos se aproveitaram do código-fonte aberto para criar mini variantes. Além de ataques DDoS, botnets podem ajudar hackers a enfraquecer a segurança de websites, roubar dados de cartão de crédito e enviar spam.
Como o malware Mirai pode ser mitigado?
Atualizar o firmware do seu dispositivo IoT para a versão mais recente pode ajudar a mitigar o risco de infecção por botnet. Além disso, mudar o nome de usuário e senha padrão impedirá que atores de ameaça utilizem credenciais de login padrão conhecidas. Segmentar sua rede para que seus dispositivos IoT estejam em uma rede separada também pode ser útil.
Para proteger seu computador de infecções por botnet, instale regularmente os patches de segurança mais recentes para o seu sistema operacional e baixe ferramentas anti-malware. Seus riscos podem aumentar com roteadores antigos e desatualizados — então considere fazer um upgrade. Uma abordagem proativa pode fortalecer suas defesas contra todos os tipos de infecções por botnet.