Desativada botnet que atuava em mais de 63 países, incluindo o Brasil

A ESET – empresa especializada na oferta de soluções para detecção proativa de ameaças – anunciou o encerramento das atividades da botnet (rede zumbi) Mumblehard. A ação realizada em cooperação com a CyS-CERT e a Polícia Cibernética da Ucrânia permitiu o término da rede composta por milhares de sistemas Linux infectados em todo o mundo, incluindo o Brasil.  “A análise forense revelou que, no momento da interrupção da atuação da bonet, a rede contava com cerca de quatro mil sistemas de mais de 63 países diferentes”, explica Marc-Etienne Léveillé, Pesquisador de Malware de ESET. Para realizar as atividades ilegais e executar o envio de spams, o backdoor utilizava hospedeiros infectados. Entre os países da América Latina atingidos foram registradas 60 vítimas no Brasil, 27 no Chile, 14 no México, 12 na Colômbia, 10 na Argentina, 4 no Perú e 2 na Bolivia.

Ao publicar a descoberta da bonet em 2015, os pesquisadores da ESET também registraram um domínio que atuava como servidor de comando e controle (C & C), que tinha como objetivo estimar a magnitude e a distribuição da botnet. Isso levou os autores do malware a reduzir o número de servidores C & C para um na Ucrânia para que conseguissem obter o controle direto do atacante.

Com a ajuda da Policía Cibernética da Ucrânia e da empresa CyS, foi possível obter informações do servidor C & C até o final de 2015. A análise forense revelou que as hipóteses iniciais sobre o tamanho da botnet e sua finalidade estavam corretas, tendo como atividade principal o envio de Spams. Além disso, foi encontrada uma grande quantidade de diferentes painéis de controle para facilitar a gestão da botnet pelo atacante.

Com base em dados recolhidos a partir do servidor sinkhole (servidor controlado pela ESET), foi possível notificar os administradores dos servidores infectados. A equipe de Respostas de Emergência da Alemanha (CERT- Bund) interveio e começou a notificar as vítimas atingidas. “Ao receber uma notificação de que o servidor está infectado, recomendamos que os usuários entrem em contato com o nosso sistema de Indicadores de repositório Github para obter mais detalhes de como encontrar e eliminar o Mumblehard do seu sistema”, recomenda Léveillé.

A imagem acima mostra o status de verificação do proxy aberto e contagem dos diferentes países.

“Foi necessário um grande esforço de várias partes para que a interrupção dessa botnet fosse possível. Apesar de não ser a mais difundida, perigosa ou sofisticada que existe hoje, ainda assim, mostra que o trabalho em conjunto dos pesquisadores de segurança com outras entidades têm um importante impacto na redução das atividades criminosas na internet. Estamos orgulhosos dos nossos esforços para tornar a Internet um lugar seguro ”, reforça Marc-Etienne Léveillé.

Para evitar futuras infecções, os especialistas em segurança da ESET aconselham que as aplicações web sejam hospedadas em um servidor – incluindo plugins -, uma vez que são atualizados e que as contas administrativas são feitas usando uma autenticação de dois fatores, a fim de melhorar sua proteção.

Para mais informações sobre a botnet Mumblehard e como pode ser neutralizada pode ser acessada pelo: http://www.welivesecurity.com/la-es/2016/04/07/cierre-mumblehard-servidores-linux-dejan-spam/