Botnet contamina quase 100 roteadores por hora no Brasil

Cresceu quase 20% o número de roteadores Mikrotik capturados numa botnet formada para a mineração da criptomoeda Monero, descoberta pela Trustwave. A principal particularidade dessa descoberta – ocorrida no dia 31 de julho – é que a maior parte dos dispositivos contaminados se encontra no Brasil.

Até este domingo, 05/08, o número de roteadores Mikrotik a serviço da botnet no mundo inteiro subiu de 72.187 para 85.499, ou seja, 92 dispositivos por hora. No Brasil, o crescimento foi menor, com 14%: mas o país ainda é o que conta com mais dispositivos contaminados, um total de 81.140 hoje contra 71.011 no dia 31.

O buscador Censys, que vasculha também websites, indicou no dia 31 de julho, um total de 170 mil dispositivos de todos os tipos a serviço da botnet. Mas no dia 05 de agosto aponta uma diminuição de 40% nesse total, com 105.850 pontos de contaminação. Um dos roteadores capturados atende o servidor web de um hospital, cuja identidade não foi revelada pelo pesquisador da Trustwave. A contagem foi feita pelo Cibersecurity.net.br.

A botnet está contaminada com o malware Coinhive, que escraviza dispositivos para utilizá-los na mineração da criptomoeda Monero. Não se sabe quem está por trás desta botnet. Mas ela tem o objetivo de favorecer a mineração, atividade que custa recursos de computação e também energia elétrica. Quanto mais máquinas fazendo mineração, maiores as probabilidades de lucro para quem controla a rede.

A vulnerabilidade explorada nesses dispositivos foi corrigida pela Mikrotik num patch publicado dia 23 de abril – isso aconteceu 24 horas depois da descoberta da Vul. Mas, como acontece em segurança da informação, a correção não foi aplicada por boa parte das pessoas.