Em cooperação com a CyS-CERT e a Polícia Cibernética da Ucrânia, ESET ajuda a identificar e interromper atuação de backdoor em de 63 países diferentes.
A ESET – empresa de soluções para detecção proativa de ameaças – anuncia a sua contribuição na ação que interrompeu as atividades da botnet (rede zumbi) Mumblehard. A ação realizada em cooperação com a CyS-CERT e a Polícia Cibernética da Ucrânia permitiu o término da rede composta por milhares de sistemas Linux infectados em todo o mundo, incluindo o Brasil.
ESET alerta para a importância do armazenamento de dados
“A análise forense revelou que, no momento da interrupção da atuação da bonet, a rede contava com cerca de quatro mil sistemas de mais de 63 países diferentes”, explica Marc-Etienne Léveillé, Pesquisador de Malware de ESET. Para realizar as atividades ilegais e executar o envio de spams, o backdoor utilizava hospedeiros infectados. Entre os países da América Latina atingidos foram registradas 60 vítimas no Brasil, 27 no Chile, 14 no México, 12 na Colômbia, 10 na Argentina, 4 no Perú e 2 na Bolívia.
Ao publicar a descoberta da bonet em 2015, os pesquisadores da ESET também registraram um domínio que atuava como servidor de comando e controle (C & C), que tinha como objetivo estimar a magnitude e a distribuição da botnet. Isso levou os autores do malware a reduzir o número de servidores C & C para um na Ucrânia para que conseguissem obter o controle direto do atacante.
Com a ajuda da Policía Cibernética da Ucrânia e da empresa CyS, foi possível obter informações do servidor C & C até o final de 2015. A análise forense revelou que as hipóteses iniciais sobre o tamanho da botnet e sua finalidade estavam corretas, tendo como atividade principal o envio de Spams. Além disso, foi encontrada uma grande quantidade de diferentes painéis de controle para facilitar a gestão da botnet pelo atacante.
Com base em dados recolhidos a partir do servidor sinkhole (servidor controlado pela ESET), foi possível notificar os administradores dos servidores infectados. A equipe de Respostas de Emergência da Alemanha (CERT- Bund) interveio e começou a notificar as vítimas atingidas. “Ao receber uma notificação de que o servidor está infectado, recomendamos que os usuários entrem em contato com o nosso sistema de Indicadores de repositório Github para obter mais detalhes de como encontrar e eliminar o Mumblehard do seu sistema”, recomenda Léveillé.
“Foi necessário um grande esforço de várias partes para que a interrupção dessa botnet fosse possível. Apesar de não ser a mais difundida, perigosa ou sofisticada que existe hoje, ainda assim, mostra que o trabalho em conjunto dos pesquisadores de segurança com outras entidades têm um importante impacto na redução das atividades criminosas na internet. Estamos orgulhosos dos nossos esforços para tornar a Internet um lugar seguro ”, reforça Marc-Etienne Léveillé.
Para evitar futuras infecções, os especialistas em segurança da ESET aconselham que as aplicações web sejam hospedadas em um servidor – incluindo plugins -, uma vez que são atualizados e que as contas administrativas são feitas usando uma autenticação de dois fatores, a fim de melhorar sua proteção.
