Uma nova variante do botnet Mirai, conhecida como Aquabot, está explorando vulnerabilidades em dispositivos SIP (Session Initiation Protocol) da Mitel para realizar ataques de negação de serviço distribuída (DDoS). Segundo a equipe de Segurança e Resposta da Akamai (SIRT), essa versão mais recente, chamada Aquabotv3, tira proveito da falha CVE-2024-41710, permitindo que invasores executem comandos remotamente e comprometam dispositivos vulneráveis.
Com essa exploração, os atacantes podem obter privilégios de administrador (root) nos dispositivos afetados, transformando-os em zumbis para ataques DDoS massivos. O botnet Aquabot não apenas amplia as capacidades de ataque do Mirai, mas também está sendo promovido como um serviço de ataque DDoS em fóruns clandestinos e canais do Telegram.
Como Funciona o Aquabotv3?
O Aquabotv3 introduziu um novo mecanismo de comunicação com o servidor de comando e controle (C2), chamado “report_kill”, que informa quando um dispositivo infectado está prestes a ser desligado ou quando um processo de mitigação tenta interromper a execução do malware.
Além disso, os operadores do Aquabot estão promovendo o botnet sob diferentes nomes, incluindo “Cursinq Firewall” e “The Eye Botnet”. Esse modelo de ataque “DDoS-as-a-Service” permite que criminosos contratem campanhas de ataque DDoS contra alvos específicos, ampliando a ameaça para diversas empresas e serviços online.
Ataques e Exploração da CVE-2024-41710
A Akamai detectou tentativas ativas de exploração dessa vulnerabilidade em honeypots distribuídos globalmente. O exploit utilizado pelos invasores é baseado em uma prova de conceito (PoC) publicada no GitHub em agosto de 2024 por Kyle Burns, da Packetlabs. Esse código malicioso permite que um atacante baixe e execute scripts para comprometer dispositivos SIP da Mitel.
Uma vez que o dispositivo é infectado, o malware Mirai se instala e se comunica com servidores C2, recebendo comandos para realizar ataques DDoS. A arquitetura modular do Mirai possibilita que ele seja executado em várias plataformas, incluindo sistemas baseados em x86, ARM, MIPS e outras arquiteturas de IoT.
Medidas de Proteção Contra o Aquabot
Empresas que utilizam dispositivos Mitel e outras soluções de telefonia IP devem adotar medidas de segurança para mitigar os riscos de exploração. Algumas das melhores práticas incluem:
-
- Atualização de Firmware: Certifique-se de que os dispositivos SIP da Mitel estejam rodando a versão mais recente do firmware. A fabricante lançou um patch de segurança para a CVE-2024-41710 em julho de 2024, disponível no Mitel Product Security Advisory 24-0019. A aplicação dessa atualização é essencial para mitigar o risco associado a essa vulnerabilidade.
- Monitoramento de Tráfego: Utilize Sistemas de Monitoramento e Análise de Logs (SIEM) para identificar padrões incomuns de tráfego de saída, o que pode indicar que um dispositivo está comprometido.
- Segmentação de Rede: Isolar dispositivos IoT e SIP do restante da rede corporativa pode impedir movimentação lateral caso um ataque ocorra.
- Senhas Fortes e Políticas de Acesso: Certifique-se de que dispositivos SIP não utilizam credenciais padrão. O uso de autenticação multifator (MFA) pode adicionar uma camada extra de proteção.
- Bloqueio de Comunicação C2: Ferramentas de Threat Intelligence podem ajudar a identificar e bloquear conexões com servidores de comando e controle utilizados pelo Aquabot.
O Futuro dos Ataques DDoS e IoT
O surgimento do Aquabotv3 reforça a necessidade de reforçar a segurança em dispositivos IoT e sistemas de comunicação IP. Como o botnet Mirai já demonstrou em ataques anteriores, dispositivos mal protegidos são alvos fáceis para cibercriminosos. A tendência de transformar botnets em serviços acessíveis por qualquer hacker eleva ainda mais os riscos.
Manter sistemas atualizados, implementar segmentação de rede e monitorar ativamente atividades suspeitas são medidas essenciais para proteger sua infraestrutura contra ameaças emergentes. Empresas que dependem de comunicação VoIP devem agir rapidamente para corrigir falhas e evitar que seus dispositivos sejam alistados em ataques massivos.
Para mais informações sobre ameaças emergentes e como proteger sua organização, visite o blog da VirtuaWorks. Lá, você encontra análises detalhadas e estratégias eficazes para fortalecer a segurança da sua empresa contra ataques modernos.

0 comentários