Publicidade
NotíciasSegurança

Roteadores MikroTik infectados: brasileiros entre os mais atacados por campanhas de mineração de criptomoedas

URLs maliciosas de mineração de criptomoedas foram bloqueados milhões de vezes pela Avast em redes com roteadores MikroTik infectados. O Brasil está entre os dez países mais afetados pelo problema.

Roteadores MikroTik infetados e campanhas de mineração de criptomoedas

Desde que a MikroTik emitiu um patch em abril para correção da falha CVE-2018-14847, os cibercriminosos têm sido ágeis para explorar essa vulnerabilidade, por meio de ataques que vão desde a mineração de criptomoedas até espionagem. De 19/9 a 15/10/2018, a Avast (LSE: AVST), líder mundial em produtos de segurança digital, bloqueou mais de 22,4 milhões de vezes URLs maliciosas de mineração de criptomoedas relacionadas às redes infectadas de gateways MikroTik – também conhecidas como vulnerabilidade do protocolo WinBox. O bloqueio protegeu mais de 362.616 usuários da Avast, em 292.456 redes. A campanha de mineração de criptomoedas foi detectada como JS:InfectedMikroTik.

Os pesquisadores da Avast identificaram que o Brasil está no topo da lista dos dez países com mais roteadores afetados (85.230), seguido pela Polônia (43.677), Indonésia (27.102) e Argentina (24.255).

Após um Twitter do pesquisador Bad Packets (@bad_packets) sobre 250 mil roteadores da MikroTik comprometidos, o Laboratório de Ameaças da Avast fez recentemente uma análise mais profunda do malware, levando à identificação e remoção de dois servidores de C&C. Uma das características da campanha que mais impressiona os pesquisadores é a longevidade com que o ataque persiste, mesmo após tornar-se público no final de julho. O malware utiliza várias técnicas inteligentes para controlar o poder computacional de centenas de milhares de redes, garantindo sua persistência nos roteadores afetados.

Existem cerca de 314 mil roteadores MikroTik na base de usuários da Avast. Destes, apenas 4,89% foram atualizados com o firmware mais recente da MikroTik, para a correção da vulnerabilidade. Assim, 85,48% ainda estão vulneráveis ao Winbox. Para os pesquisadores da Avast, os roteadores com credenciais padrão de fábrica ou senhas fracas também podem ser infectados.

Cresce a mineração de criptomoedas

O aumento do uso de criptomoedas, aliado à capacidade de minerar a moeda digital via JavaScript em um navegador, gerou o crescimento de práticas maliciosas. Os cibercriminosos executam softwares para essa mineração, usando recursos de empresas e consumidores, sem que saibam que a mineração é executada em segundo plano.

A infecção começa com o uso indevido da falha CVE-2018-14847. Considerada uma vulnerabilidade crítica, permite que o cibercriminoso acesse o roteador sem a autorização ou interação do usuário. O grande problema é que o usuário não sabe ao certo até que ponto o roteador comprometido pode ser abusado, podendo ser utilizado para rastrear um tráfego ou servir páginas maliciosas, entre outros propósitos.

Para saber se há infecção ou vulnerabilidades, o usuário pode utilizar recursos de monitoramento de redes, como o Avast Wi-Fi Inspector. O Wi-Fi Inspector também pode detectar senhas fracas ou padrão nos roteadores MikroTik, ou ainda uma adulteração HTTP específica nomeada HNS-2018-001-MIKROTIK-HTTP-INJECTION – que pode ser um forte indicador de que a rede do usuário está comprometida. Além disso, os usuários devem executar atualizações, sempre que disponíveis.

Como saber se o roteador foi infectado?

É possível que o roteador do usuário seja infectado pela campanha, mesmo que não seja MikroTik. Assim, caso ele detecte a JS: InfectedMikroTik, provavelmente o Provedor de Serviço de Internet (ISP) foi afetado também. Então, será preciso contatá-lo imediatamente para resolver o problema com o roteador.

Outra forma de certificar é conectar o roteador a partir da rede interna, usando um dos protocolos que o usuário está acostumado: WinBox, TELNET ou SSH. Caso não consiga se conectar por nenhuma dessas portas, então, será preciso tentar portas alternativas que foram movidas pelo cibercriminoso. A TELNET e SSH podem ter sido movidas para TCP/10022. A SSH e TCP/10023 podem ter sido direcionadas para TELNET.

Se mesmo assim o usuário ainda não conseguir se conectar, o único caminho será redefinir o roteador para as configurações de fábrica. Imediatamente após a reinicialização de fábrica, será necessário atualizar o firmware. Com a redefinição, todas as configurações padrão estarão seguras, já que as versões mais recentes dos roteadores MikroTik impedem o acesso externo.

É essencial verificar todas as contas de usuários, removendo as que forem suspeitas e definindo uma senha forte para o restante delas. Também deve-se atualizar o firmware do roteador para a versão mais recente.