Reaper: devemos temer a nova botnet de IoT? Ela pode ser pior que a Mirai

Recentemente,
foi descoberta uma nova botnet, denominada Reaper ou IoTroop, que tem o
potencial para ser uma ameaça ainda maior para IoT (Internet
das Coisas) do que a Mirai, atual recordista de ataque DDoS a partir desses
dispositivos. Embora não existam relatórios confirmados de que o malware da Reaper
tenha sido usado para lançar um ataque, pesquisadores de segurança
avisam que isso pode ser apenas uma questão de tempo.

Pesquisas
da Check Point anunciaram a descoberta do malware Reaper em 19 de outubro,
afirmando que já pode ter infectado “aproximadamente um milhão de
empresas”, com potencial para “derrubar a Internet”. O novo
malware, segundo a Check Point, está “evoluindo e recrutando
dispositivos IoT em um ritmo muito maior, e com mais danos potenciais que
o Mirai, de 2016. “

Diferente
do Mirai, que usou nomes de usuário e senhas de fábrica ou padrão para
infiltrar-se em dispositivos IoT, o Reaper aproveita falhas de segurança
conhecidas, de fabricantes como AVTECH, D-Link, Netgear, Linksys e
outros, de acordo com a KrebsOnSecurity. A Netlab 360 listou todas as
vulnerabilidades que o Reaper explora no seu blog.

Para
agravar a situação, o Reaper é um worm, projetado para se espalhar de
um dispositivo infectado para outro dentro das redes, algo similar ao
Petya, que aterrorizou usuários de Windows no início do ano.

Infiltração em IoT
O
que torna o Reaper e outros ataques baseados em IoT particularmente
assustadores é a sua amplitude e sofisticação. Por exemplo, os ataques
de IoT não dependem de spoofed IP (falsificação de remetentes) para serem amplos. Em vez disso, eles são end points reais com
endereços IP reais, tornando mais difícil bloquear individualmente cada
dispositivo que esteja enviando tráfego de ataque. Além disso, os ataques
de IoT são amplamente distribuídos e cada IP deve ser tratado de forma
diferente – uma organização não pode simplesmente bloquear um segmento
de rede ou o intervalo de IP de um país para se defender contra ele.

Ataques
deste tipo podem ter uma força maior do que as estratégias de ataques
tradicionais. Por exemplo, ataques DDoS anteriores usavam reflexão
(como DNS ou NTP) para criar volume, o que significa que milhares de
resolvers abertos (caso de reflexão DNS) seriam enganados para gerar uma
enorme carga de tráfego. Nos ataques de IoT, dispositivos criam tráfego
único “inchando” o exército de bots em ataques gigantescos – pense nisso
como tentar segurar um tsunami com um balde.

Tendo
em vista que o ataque ao provedor de DNS Dyn, que usou a botnet Mirai, passou
de 1 Terabyte por segundo, afetando a internet como um todo, os cenários
de um ataque com o Reaper são imagináveis.

Proteja-se
Se o malware Reaper tomar o mesmo caminho do Mirai e for usado para iniciar ataques DDoS com IoT, é importante estar protegido.

A
detecção e mitigação DDoS são indispensáveis na batalha contra botnets
IoT e ataques sofisticados de múltiplos vetores aos quais elas dão
suporte. As organizações precisam de detecção rápida e cirúrgica, com
mitigação ágil, para garantir que os serviços não sejam interrompidos e
que o tráfego legítimo tenha passagem segura em meio à zona de guerra.

Além
disso, as empresas devem implementar um modelo de proteção DDoS híbrido
que combine a defesa on-premise com as da nuvem para combater as
investidas de alto volume.

Outra
medida preventiva é atualizar seus dispositivos. A atualização de
dispositivos IoT com um novo código e o desligamento de recursos que
envolvam a administração baseada em WAN podem ajudar a proteger os
dispositivos contra a ação do Reaper, caso ele “acorde”. Falhar na atualização de
dispositivos e desativar os recursos de WAN pode deixar sua senha de
administrador exposta, independentemente de quão complexa seja.

Por
fim, os avisos estão claros – como foram com WannaCry e Petya. Assim
como há uma calmaria antes da tempestade, o Reaper está silenciosamente
recrutando seu exército zumbi para fins ainda desconhecidos. Por isso,
esteja preparado.

(*) Thiago Lima é Engenheiro de Sistemas da A10 Networks