Botnet ataca alvos no Brasil
14 de Março de 2025

A botnet Ballista atingiu roteadores Archer AX21 da TP-Link, explorando a vulnerabilidade CVE-2023-1389 que permite a execução de código.

Brasil, Polônia, Reino Unido, Bulgária e Turquia foram os principais países afetados pelos ataques DDoS perpetrados pela botnet.

Para remediar a falha de segurança, é crucial a atualização do firmware do roteador TP-Link Archer AX21.

A descoberta dessa atividade maliciosa foi feita pela empresa de cibersegurança Cato Networks, que identificou a botnet, nomeada de Ballista.

O Brasil destaca-se como um importante vetor dessa atividade, com dispositivos no país sendo usados nos ataques.

A campanha foi detectada pela primeira vez no dia 10 de janeiro, com indícios apontando para um grupo cracker na Itália, dada a origem do IP e a presença de strings em italiano no malware.

A botnet Ballista opera através da exploração da vulnerabilidade de execução de código no roteador TP-Link Archer AX21, permitindo que um malware seja injetado e executado no equipamento.

O malware visa infectar outros dispositivos pela internet, utilizando a vulnerabilidade CVE-2023-1389 — com "2023" indicando o ano de descoberta da falha.

Botnets como Mirai, Condi e AndroxGh0St também exploraram essa vulnerabilidade para infectar dispositivos, inclusive os de Internet das Coisas (IoT), que eram alvos da Ballista.

Com o controle da botnet, o grupo cracker executava ataques DDoS, sobrecarregando vítimas com um volume massivo de requisições simultâneas.

Alvos incluíam operadoras de plano de saúde, empresas de tecnologia e fabricantes localizados no México, Estados Unidos, Austrália e China.

A maioria dos dispositivos infectados está situada em Brasil, Polônia, Reino Unido, Bulgária e Turquia, com a última atividade registrada da botnet datada de 17 de fevereiro.

Até o fim de 2024, surgiu nos Estados Unidos a discussão sobre a possibilidade de proibir a venda de roteadores da TP-Link devido a preocupações com a segurança.

Em resposta à situação, a TP-Link Brasil esclareceu que seus roteadores são regularmente atualizados com novo firmware.

O modelo mencionado não é homologado pela Anatel nem vendido oficialmente no Brasil, destacando que a informação se refere a operações da TP-Link fora do país.

A companhia também informou que, para os usuários cujos roteadores estejam associados a uma conta TP-Link ID ou que suportem o serviço TP-Link Cloud, serão enviadas notificações automáticas sobre disponibilidade de atualizações através da interface de administração dos dispositivos.

Os usuários podem então atualizar o firmware navegando pela interface web do roteador, conforme as orientações disponíveis no site oficial da TP-Link.

Para corrigir a vulnerabilidade no TP-Link Archer AX21, é necessário atualizar o firmware, seguindo as instruções disponíveis no site da TP-Link.

Contudo, a disponibilidade do firmware pode variar conforme a região.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...