Um novo malware botnet chamado 'Eleven11bot' infectou mais de 86.000 dispositivos IoT, principalmente câmeras de segurança e gravadores de vídeo em rede (NVRs), para conduzir ataques DDoS.
O botnet, que está vagamente ligado ao Irã, já lançou ataques de negação de serviço distribuído (DDoS) visando provedores de serviços de telecomunicações e servidores de jogos online.
Eleven11bot foi descoberto por pesquisadores da Nokia, que compartilharam os detalhes com a plataforma de monitoramento de ameaças GreyNoise.
O pesquisador de segurança da Nokia, Jérôme Meyer, comentou que Eleven11bot é um dos maiores botnets DDoS que eles observaram nos últimos anos.
"Composto principalmente por webcams comprometidas e Gravadores de Vídeo em Rede (NVRs), esse botnet cresceu rapidamente para ultrapassar 30.000 dispositivos", afirmou Meyer no LinkedIn.
Seu tamanho é excepcional entre botnets de atores não estatais, tornando-o um dos maiores botnets DDoS conhecidos observados desde a invasão da Ucrânia em fevereiro de 2022.
Mais cedo hoje, a plataforma de monitoramento de ameaças The Shadowserver Foundation relatou ter visto 86.400 dispositivos infectados pelo botnet Eleven11bot, com a maioria nos Estados Unidos, Reino Unido, México, Canadá e Austrália.
Meyer diz que os ataques do botnet alcançaram vários milhões de pacotes por segundo em volume, e sua duração muitas vezes se estende por vários dias.
GreyNoise, com a ajuda da Censys, registrou 1.400 IPs vinculados à operação do botnet no último mês, com 96% deles provenientes de dispositivos reais (não forjados).
A maioria desses endereços IP está baseada no Irã, enquanto mais de trezentos são classificados como maliciosos pela GreyNoise.
GreyNoise relata que o malware é espalhado por força bruta em credenciais de usuário admin fracas ou comuns, aproveitando credenciais padrão conhecidas para modelos específicos de IoT, e escaneando ativamente redes em busca de portas Telnet e SSH expostas.
GreyNoise publicou uma lista de endereços IP vinculados ao Eleven11bot e confirmou como portadores de ações maliciosas, então é recomendado que defensores adicionem essa lista às suas blocklists e monitoram por tentativas suspeitas de login.
Em geral, é aconselhável garantir que todos os dispositivos IoT rodem a versão mais recente do firmware, tenham seus recursos de acesso remoto desabilitados se não forem necessários, e que as credenciais padrão da conta admin tenham sido alteradas para algo forte e único.
Os dispositivos IoT geralmente não desfrutam de suporte de longo prazo de seus fornecedores, portanto, verificar periodicamente se seus dispositivos não alcançaram o fim da vida útil (EOL) e substituir aqueles que alcançaram por modelos mais novos é crucial.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...