Várias botnets de negação de serviço distribuído (DDoS) foram observadas explorando uma falha crítica nos dispositivos Zyxel que veio à luz em abril de 2023 para obter controle remoto dos sistemas vulneráveis.
"Através da captura do tráfego de exploração, o endereço IP do atacante foi identificado e foi determinado que os ataques estavam ocorrendo em várias regiões, incluindo América Central, América do Norte, Leste da Ásia e Sul da Ásia", disse a pesquisadora da Fortinet FortiGuard Labs, Cara Lin.
A falha, rastreada como
CVE-2023-28771
(pontuação CVSS: 9.8), é um bug de injeção de comando que afeta vários modelos de firewalls que potencialmente poderiam permitir a um ator não autorizado executar código arbitrário enviando um pacote específicamente criado para o aparelho visado.
No mês passado, a Fundação Shadowserver alertou que a falha estava sendo "ativamente explorada para construir uma botnet semelhante ao Mirai" pelo menos desde 26 de maio de 2023, indicando como o abuso de servidores que executam software sem patch está aumentando.
As últimas descobertas da Fortinet sugerem que a falha está sendo aproveitada oportunisticamente por vários atores para invadir hosts suscetíveis e agrupá-los em uma botnet capaz de lançar ataques DDoS contra outros alvos.
Isso inclui variantes de botnets Mirai, como o Dark.IoT e outra botnet que foi apelidada de Katana por seu autor, que vem com capacidades de montar ataques DDoS usando protocolos TCP e UDP.
"Parece que esta campanha utilizou vários servidores para lançar ataques e se atualizou em poucos dias para maximizar o comprometimento de dispositivos Zyxel", disse Lin.
A revelação acontece enquanto o Cloudflare relatou um "alarmante aumento na sofisticação dos ataques DDoS" no segundo trimestre de 2023, com atores de ameaças inventando novas maneiras de evadir a detecção "imitando habilidosamente o comportamento do navegador" e mantendo suas taxas de ataque por segundo relativamente baixas.
Acrescentando à complexidade está o uso de ataques de lavagem de DNS para ocultar tráfego malicioso via resolvedores recursivos de DNS confiáveis e botnets de máquinas virtuais para orquestrar ataques DDoS hiper-volumétricos.
"Em um ataque de lavagem de DNS, o ator da ameaça consultará subdomínios de um domínio que é gerenciado pelo servidor DNS da vítima", explicou o Cloudflare.
"O prefixo que define o subdomínio é randomizado e nunca é usado mais de uma ou duas vezes em tal ataque."
"Devido ao elemento de randomização, os servidores DNS recursivos nunca terão uma resposta em cache e precisarão encaminhar a consulta para o servidor DNS autoritativo da vítima.
O servidor DNS autoritativo então é bombardeado por tantas consultas até que não consiga atender consultas legítimas ou até mesmo cai por completo."
Outro fator notável que contribui para o aumento das ofensivas DDoS é o surgimento de grupos hacktivistas pró-russos, como KillNet, REvil e Anonymous Sudan (também conhecido como Storm-1359) que têm focado esmagadoramente em alvos nos EUA e na Europa.
Não há evidências para conectar o REvil ao conhecido grupo de ransomware.
A "criação regular e absorção de novos grupos pela KillNet é pelo menos parcialmente uma tentativa de continuar a atrair a atenção da mídia ocidental e de aumentar o componente de influência de suas operações", disse a Mandiant em uma nova análise, acrescentando que o direcionamento do grupo tem "consistentemente alinhado com as prioridades geopolíticas russas estabelecidas e emergentes".
"A estrutura, liderança e capacidades da KillNet passaram por várias mudanças observáveis ao longo dos últimos 18 meses, progredindo para um modelo que inclui novos grupos afiliados de maior perfil destinados a chamar a atenção para suas marcas individuais, além da marca mais ampla da KillNet", acrescentou ainda.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...