A Avast bloqueou mais de 22,4 milhões de vezes URLs maliciosas de mineração de criptomoedas em redes com roteadores MikroTik infectados
A Avast bloqueou mais de 22,4 milhões de vezes URLs maliciosas de mineração de criptomoedas em redes com roteadores MikroTik infectados. O Brasil está no topo da lista dos dez países mais afetados, reunindo 85.230 roteadores contaminados.
Desde que a MikroTik emitiu um patch em abril para correção da falha CVE-2018-14847, os cibercriminosos têm sido ágeis para explorar essa vulnerabilidade, por meio de ataques que vão desde a mineração de criptomoedas até espionagem.
De 19/9 a 15/10/2018, a Avast, empresa mundial em produtos de segurança digital, bloqueou mais de 22,4 milhões de vezes URLs maliciosas de mineração de criptomoedas relacionadas às redes infectadas de gateways MikroTik – também conhecidas como vulnerabilidade do protocolo WinBox. O bloqueio protegeu mais de 362.616 usuários da Avast, em 292.456 redes. A campanha de mineração de criptomoedas foi detectada como JS:InfectedMikroTik.
Os pesquisadores da Avast identificaram que o Brasil está no topo da lista dos dez países com mais roteadores afetados (85.230), seguido pela Polônia (43.677), Indonésia (27.102) e Argentina (24.255).
Após um Twitter do pesquisador Bad Packets (@bad_packets) sobre 250 mil roteadores da MikroTik comprometidos, o Laboratório de Ameaças da Avast fez recentemente uma análise mais profunda do malware, levando à identificação e remoção de dois servidores de C&C. Uma das características da campanha que mais impressiona os pesquisadores é a longevidade com que o ataque persiste, mesmo após tornar-se público no final de julho. O malware utiliza várias técnicas inteligentes para controlar o poder computacional de centenas de milhares de redes, garantindo sua persistência nos roteadores afetados.
Existem aproximadamente 314 mil roteadores MikroTik na base de usuários da Avast. Destes, apenas 4,89% foram atualizados com o firmware mais recente da MikroTik, para a correção da vulnerabilidade. O fato é que 85,48% ainda estão vulneráveis ao Winbox. Para os pesquisadores da Avast, os roteadores com credenciais padrão de fábrica ou senhas fracas também podem ser infectados.
O aumento do uso de criptomoedas, aliado à capacidade de minerar a moeda digital via JavaScript em um navegador, gerou o crescimento de práticas maliciosas. Os cibercriminosos executam softwares para essa mineração, usando recursos de empresas e consumidores, sem que saibam que a mineração é executada em segundo plano.
Por seu poder computacional, um dos principais alvos dos cibercriminosos são os roteadores. Sejam residenciais ou corporativos, geralmente os roteadores têm falhas de segurança devido às credenciais fracas ou vulnerabilidades conhecidas. A campanha, em questão, faz uso do poder computacional dos roteadores para infectar os dispositivos conectados às redes, capazes de executar navegadores. Assim, são alvos os computadores, smartphones e smart TVs.
A infecção começa com o uso indevido da falha CVE-2018-14847. Considerada uma vulnerabilidade crítica, permite que o cibercriminoso acesse o roteador sem a autorização ou interação do usuário. O grande problema é que o usuário não sabe ao certo até que ponto o roteador comprometido pode ser abusado, podendo ser utilizado para rastrear um tráfego ou servir páginas maliciosas, entre outros propósitos.
Para saber se há infecção ou vulnerabilidades, o usuário pode utilizar recursos de monitoramento de redes, como o Avast Wi-Fi Inspector. O Wi-Fi Inspector também pode detectar senhas fracas ou padrão nos roteadores MikroTik, ou ainda uma adulteração HTTP específica nomeada HNS-2018-001-MIKROTIK-HTTP-INJECTION – que pode ser um forte indicador de que a rede do usuário está comprometida. Além disso, os usuários devem executar atualizações, sempre que disponíveis.
É possível que o roteador do usuário seja infectado pela campanha, mesmo que não seja MikroTik. Assim, caso ele detecte a JS: InfectedMikroTik, provavelmente o Provedor de Serviço de Internet (ISP) foi afetado também. Então, será preciso contatá-lo imediatamente para resolver o problema com o roteador.
Outra forma de certificar é conectar o roteador a partir da rede interna, usando um dos protocolos que o usuário está acostumado: WinBox, TELNET ou SSH. Caso não consiga se conectar por nenhuma dessas portas, então, será preciso tentar portas alternativas que foram movidas pelo cibercriminoso. A TELNET e SSH podem ter sido movidas para TCP/10022. A SSH e TCP/10023 podem ter sido direcionadas para TELNET.
Se mesmo assim o usuário ainda não conseguir se conectar, o único caminho será redefinir o roteador para as configurações de fábrica. Imediatamente após a reinicialização de fábrica, será necessário atualizar o firmware. Com a redefinição, todas as configurações padrão estarão seguras, já que as versões mais recentes dos roteadores MikroTik impedem o acesso externo.
É essencial verificar todas as contas de usuários, removendo as que forem suspeitas e definindo uma senha forte para o restante delas. Também deve-se atualizar o firmware do roteador para a versão mais recente.
