O que é o botnet Mirai?
No final de 2016, na França, a empresa de telecomunicações OVH foi atingida por um ataque de negação de serviço distribuído(DDoS). Os especialistas ficaram impressionados com o fato de o ataque ter sido 100 vezes maior do que ameaças semelhantes. No mês seguinte, mais de 175.000 sites foram afetados, pois o Dyn, um provedor de DNS (Sistema de Nomes de Domínio) gerenciado, foi atingido por outro ataque DDoS poderoso. Grande parte do leste dos Estados Unidos e parte da Europa sofreram uma queda significativa na qualidade da Internet.
Alguns grupos de hackers, como o Anonymous e o New World Hackers , reivindicaram a responsabilidade em retaliação ao fato de o fundador do WikiLeaks, Julian Assange, ter sido isolado da Internet pelo governo equatoriano. No entanto, autoridades americanas e empresas de segurança colocaram em dúvida essas alegações. Uma coisa é certa. A arma por trás desses ataques foi o malware botnet Mirai.
O momento não poderia ter sido pior. Com as eleições americanas se aproximando, havia o temor de que o malware afetasse os eleitores. Os especialistas especularam que o software mal-intencionado era obra de um estado desonesto com a intenção de manipular o processo democrático.
Eles não poderiam estar mais longe da verdade.
Quem criou o botnet Mirai?
Três jovens chamados Paras Jha, Dalton Norman e Josiah White criaram o Mirai como parte de um golpe do Minecraft. Seu objetivo inicial era executar um esquema de extorsão derrubando servidores do Minecraft e iniciar um esquema de proteção. Depois que o usuário da Internet "Anna-senpai", que os investigadores acreditam ser um pseudônimo de Paras Jha, publicou o código-fonte do Mirai on-line, o botnet sofreu uma mutação.
Como o botnet Mirai recebeu esse nome?
Mirai é um nome de batismo japonês que significa "futuro". De acordo com um registro de bate-papo entre Anna-senpai e Robert Coelho, um executivo da ProxyPipe.com, o botnet Mirai recebeu o nome da série animada japonesa Mirai Nikki.
Como a Mirai se espalha?
Vamos responder a algumas perguntas urgentes como "O que é um ataque DDoS?", "O que é um botnet?" e
"O que é IoT?" antes de explicar como o botnet Mirai se espalhou.
Um botnet é uma rede de computadores sequestrados sob o controle de um agente de ameaças, normalmente chamado de bot herder. A rede de computadores, ou bots, executa um script automatizado para realizar uma tarefa.
As redes de bots nem sempre servem a agentes mal-intencionados. Por exemplo, o experimento científico de crowdsourcing, SETI@home, procurou por vida extraterrestre por meio de uma rede de bots voluntária. No entanto, os pastores de bots geralmente usam botnets para ataques como DDoS. Usando os amplos recursos dos muitos computadores em uma rede de bots, eles enviam tráfego excessivo a um site ou serviço para sobrecarregá-lo e derrubá-lo.
O objetivo de um ataque de DDoS pode ser qualquer coisa, desde malícia, ativismo ou extorsão. Por exemplo, os autores do Mirai queriam prejudicar servidores críticos do Minecraft para vender serviços de atenuação de DDoS. Eles também supostamente atacaram o ProxyPipe.com porque ele fornecia serviços semelhantes e era um concorrente em potencial.
O botnet Mirai era diferente de outros malwares porque atacava dispositivos de IoT em vez de computadores. IoT, é claro, é um nome sofisticado para dispositivos que carregam sensores e software, permitindo que se comuniquem com outros dispositivos e sistemas. O Mirai infectou dispositivos de consumo vulneráveis, como câmeras inteligentes. Ele também atacou roteadores baseados em Realtek.
A Mirai examinou a Internet em busca de alvos e violou sua segurança ao tentar combinações de nome de usuário e senha padrão. Não demorou muito para que o Mirai infectasse centenas de milhares de dispositivos de IoT em países do mundo todo e ganhasse um poder significativo. O ataque da Mirai em 2016 contra a OVH atingiu um pico surpreendente de 1 TBps.
Como o botnet Mirai foi interrompido?
De acordo com o TechTarget, o FBI descobriu as identidades dos criadores do Mirai por meio dos metadados de suas contas anônimas após uma extensa investigação. O trio não apenas se declarou culpado de vários crimes de computador, mas também concordou em ajudar a fazer reparações. Uma de suas maiores contribuições foi a criação de um honeypot de IoT chamado WatchTower. Um honeypot é essencialmente uma armadilha digital para malware e hackers.
O botnet Mirai ainda está ativo?
As autoridades podem ter capturado os criadores do Mirai, mas o espírito de seu botnet continua vivo. Diversos grupos aproveitaram o código-fonte aberto para criar mini variantes. Além dos ataques DDoS, os botnets podem ajudar hackers a enfraquecer a segurança dos sites, roubar dados de cartões de crédito e enviar spam.
Como o malware Mirai pode ser atenuado?
Atualizar o firmware de seu dispositivo de IoT para a versão mais recente pode ajudar a reduzir o risco de uma infecção por botnet. Além disso, a alteração do nome de usuário e das senhas padrão impedirá que os agentes de ameaças utilizem credenciais de login padrão conhecidas. Segmentar a rede para que os dispositivos de IoT estejam em uma rede separada também pode ser útil.
Para proteger seu computador contra infecções por botnets, instale regularmente os patches de segurança mais recentes para seu sistema operacional e baixe ferramentas antimalware. Você também pode estar em risco por causa de roteadores antigos e desatualizados, portanto, considere a possibilidade de atualizá-los. Uma abordagem proativa pode fortalecer suas defesas contra todos os tipos de infecções por botnets.