Trustwave descobre nova variante de botnet utilizada para criar bitcoins

A Trustwave, empresa especializada em soluções e serviços de segurança da informação, descobriu uma nova variante de Botnet malware que ataca servidores web de empresas. Nessa modalidade, criminosos escaneiam vários endereços IP em busca de vulnerabilidades em servidores web que possam explorar. Com esses servidores vulneráveis, sem o conhecimento das empresas, os criminosos criam uma botnet utilizada para lançar ataques de malware generalizados e criar seus próprios bitcoins.

Os criadores da Botnet, denominada BoSSaBoTv2, não estão apenas visando lançar ataques DDoS (Negação de Serviço), mas também comercializar a Botnet no mercado negro. Pesquisadores encontraram um criminoso em um fórum hacker que vendia o malware por 25 dólares para apenas um uso ou 125 dólares como suprimento vitalício.

O principal vetor de ataque dessa variante é a já conhecida vulnerabilidade PHP-CGI. Contudo, estes são frequentemente trocados a fim de passar despercebido pelos sistemas de segurança. Uma das principais dificuldades desse malware está em sua baixa taxa de detecção por parte de fornecedores de antivírus. De acordo com análises da Trustwave, apenas quatro softwares antivírus foram capazes de detectar a ameaça.

A tecnologia de firewall de aplicação web da Trustwave, Modsecurity, detectou a ameaça enquanto procurava por vulnerabilidades de segurança nos servidores do cliente. A tecnologia bloqueou o ataque e não permitiu que fosse instalado.

Para se proteger contra essa ameaça, a Trustwave recomenda a atualização das regras de firewall, e a desativação de downloads e uploads automáticos das novas versões. Criminosos podem se aproveitar da instalação de uma nova versão para executar comandos de instalação do malware.

Bloquear conexões de saída de servidores web hospedados com terceiros também pode ajudar a reduzir significativamente a capacidade de um atacante expandir sua violação. Os arquivos de log também devem ser revistos regularmente a fim de detectar as iniciais PHP-CCI. Além disso, qualquer código de resposta HTTP que não seja 404, pode indicar problemas.

Os servidores corporativos constituem-se em alvo fácil para os criminosos, pois, além de gerar mais tráfego, raramente são desligados.

Especialistas da Trustwave alertam as empresas quanto às suas tecnologias de proteção e sugerem uma equipe dedicada à segurança da TI, contratada por empresa terceirizada, caso não haja um time interno. Com uma equipe dedicada a identificar e corrigir vulnerabilidades que possam comprometer a saúde do negócio, as chances de uma violação e dos prejuízos dela advindos, reduzem drasticamente.