Aquabot: Nova Variante do Botnet Mirai Explora Falhas em Telefones SIP da Mitel

29 de janeiro de 2025

Aquabot: Nova Variante do Botnet Mirai Explora Falhas em Telefones SIP da Mitel

Uma nova variante do botnet Mirai, conhecida como Aquabot, está explorando vulnerabilidades em dispositivos SIP (Session Initiation Protocol) da Mitel para realizar ataques de negação de serviço distribuída (DDoS). Segundo a equipe de Segurança e Resposta da Akamai (SIRT), essa versão mais recente, chamada Aquabotv3, tira proveito da falha CVE-2024-41710, permitindo que invasores executem comandos remotamente e comprometam dispositivos vulneráveis.

Com essa exploração, os atacantes podem obter privilégios de administrador (root) nos dispositivos afetados, transformando-os em zumbis para ataques DDoS massivos. O botnet Aquabot não apenas amplia as capacidades de ataque do Mirai, mas também está sendo promovido como um serviço de ataque DDoS em fóruns clandestinos e canais do Telegram.

Como Funciona o Aquabotv3?

O Aquabotv3 introduziu um novo mecanismo de comunicação com o servidor de comando e controle (C2), chamado “report_kill”, que informa quando um dispositivo infectado está prestes a ser desligado ou quando um processo de mitigação tenta interromper a execução do malware.

Além disso, os operadores do Aquabot estão promovendo o botnet sob diferentes nomes, incluindo “Cursinq Firewall” e “The Eye Botnet”. Esse modelo de ataque “DDoS-as-a-Service” permite que criminosos contratem campanhas de ataque DDoS contra alvos específicos, ampliando a ameaça para diversas empresas e serviços online.

Ataques e Exploração da CVE-2024-41710

A Akamai detectou tentativas ativas de exploração dessa vulnerabilidade em honeypots distribuídos globalmente. O exploit utilizado pelos invasores é baseado em uma prova de conceito (PoC) publicada no GitHub em agosto de 2024 por Kyle Burns, da Packetlabs. Esse código malicioso permite que um atacante baixe e execute scripts para comprometer dispositivos SIP da Mitel.

Uma vez que o dispositivo é infectado, o malware Mirai se instala e se comunica com servidores C2, recebendo comandos para realizar ataques DDoS. A arquitetura modular do Mirai possibilita que ele seja executado em várias plataformas, incluindo sistemas baseados em x86, ARM, MIPS e outras arquiteturas de IoT.

Medidas de Proteção Contra o Aquabot

Empresas que utilizam dispositivos Mitel e outras soluções de telefonia IP devem adotar medidas de segurança para mitigar os riscos de exploração. Algumas das melhores práticas incluem:

    • Atualização de Firmware: Certifique-se de que os dispositivos SIP da Mitel estejam rodando a versão mais recente do firmware. A fabricante lançou um patch de segurança para a CVE-2024-41710 em julho de 2024, disponível no Mitel Product Security Advisory 24-0019. A aplicação dessa atualização é essencial para mitigar o risco associado a essa vulnerabilidade.
    • Monitoramento de Tráfego: Utilize Sistemas de Monitoramento e Análise de Logs (SIEM) para identificar padrões incomuns de tráfego de saída, o que pode indicar que um dispositivo está comprometido.
    • Segmentação de Rede: Isolar dispositivos IoT e SIP do restante da rede corporativa pode impedir movimentação lateral caso um ataque ocorra.
    • Senhas Fortes e Políticas de Acesso: Certifique-se de que dispositivos SIP não utilizam credenciais padrão. O uso de autenticação multifator (MFA) pode adicionar uma camada extra de proteção.
    • Bloqueio de Comunicação C2: Ferramentas de Threat Intelligence podem ajudar a identificar e bloquear conexões com servidores de comando e controle utilizados pelo Aquabot.

O Futuro dos Ataques DDoS e IoT

O surgimento do Aquabotv3 reforça a necessidade de reforçar a segurança em dispositivos IoT e sistemas de comunicação IP. Como o botnet Mirai já demonstrou em ataques anteriores, dispositivos mal protegidos são alvos fáceis para cibercriminosos. A tendência de transformar botnets em serviços acessíveis por qualquer hacker eleva ainda mais os riscos.

Manter sistemas atualizados, implementar segmentação de rede e monitorar ativamente atividades suspeitas são medidas essenciais para proteger sua infraestrutura contra ameaças emergentes. Empresas que dependem de comunicação VoIP devem agir rapidamente para corrigir falhas e evitar que seus dispositivos sejam alistados em ataques massivos.

Para mais informações sobre ameaças emergentes e como proteger sua organização, visite o blog da VirtuaWorks. Lá, você encontra análises detalhadas e estratégias eficazes para fortalecer a segurança da sua empresa contra ataques modernos.

Artigos Relacionados

Simulação realista de ataques corporativos

by | jul 8, 2026 | CyberSecurity | 0 Comments

Quando uma empresa acredita que está protegida porque passou por auditoria, implantou ferramentas e revisou políticas, costuma existir um ponto cego: saber se tudo isso...

Como validar exposição externa sem achismo

Como validar exposição externa sem achismo

by | jul 6, 2026 | CyberSecurity | 0 Comments

Quando uma empresa pergunta como validar exposição externa, quase nunca o problema real é apenas descobrir o que está publicado na internet. O ponto crítico é entender...

Como simular ataque de phishing com segurança

Como simular ataque de phishing com segurança

by | jul 5, 2026 | CyberSecurity | 0 Comments

Um clique em um e-mail convincente pode contornar, em segundos, controles que levaram meses para serem implantados. É por isso que entender como simular ataque de...

Quanto custa Red Team nas empresas?

Quanto custa Red Team nas empresas?

by | jul 3, 2026 | CyberSecurity | 0 Comments

A pergunta quanto custa red team costuma aparecer quando a empresa já percebeu um ponto sensível: não basta saber se existe vulnerabilidade isolada. É preciso entender...

Como auditar segurança cloud sem lacunas

by | jul 1, 2026 | CyberSecurity | 0 Comments

A maioria das falhas graves em cloud não nasce de um ataque sofisticado. Ela começa em uma permissão excessiva, um storage exposto, uma integração mal configurada ou um...

Segurança ofensiva para compliance funciona?

Segurança ofensiva para compliance funciona?

by | jun 28, 2026 | CyberSecurity | 0 Comments

Auditoria aprovada não significa ambiente seguro. Em muitas empresas, o papel está em ordem, mas aplicações críticas, APIs, acessos expostos e falhas de configuração...

Quando fazer pentest interno na empresa

Quando fazer pentest interno na empresa

by | jun 26, 2026 | CyberSecurity | 0 Comments

Um ambiente interno raramente fica estático por muito tempo. Entram novos sistemas, integrações são ampliadas, acessos se acumulam, times mudam, servidores são...

Guia de segurança para APIs nas empresas

Guia de segurança para APIs nas empresas

by | jun 25, 2026 | CyberSecurity | 0 Comments

Uma API insegura raramente falha sozinha. Em geral, ela expõe dados de clientes, abre caminho para fraude, compromete integrações críticas e cria um problema que sai do...

Como escolher pentest API sem errar

Como escolher pentest API sem errar

by | jun 22, 2026 | CyberSecurity | 0 Comments

Contratar um pentest de API porque um cliente exigiu, porque a auditoria pediu ou porque a equipe desconfia de exposição não é o problema. O problema começa quando a...

0 Comentários

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *