Especialistas da NSFOCUS, referência global em soluções cibernéticas, identificaram recentemente uma nova família de malware botnet que, em um período de 24 dias, lançou mais de 300 mil comandos de ataques DDoS direcionados a 113 países, entre eles, o Brasil. Nomeado de GorillaBot, ele está sendo tratado como o rei dos ataques de negação de serviço, e teve entre seus alvos principais universidades, sites governamentais, serviços de telecomunicação, instituições bancárias e plataformas de jogos online.

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga

O ataque DDoS visa interromper o funcionamento normal de um servidor, serviço ou rede, inundando-o com tráfego excessivo de internet. Isso é feito por meio de uma rede de dispositivos comprometidos, conhecida como botnet, que envia inúmeras solicitações ao alvo, bloqueando efetivamente sua largura de banda e seus recursos.

No caso do GorillaBot, trata-se de uma versão modificada do malware Mirai, que empregou algoritmos de criptografia associados ao grupo KekSec para ocultar informações essenciais, e implementou diversas técnicas para manter o controle de longo prazo sob dispositivos IoT e hospedagens em nuvem.

O botnet suporta a maioria das principais arquiteturas de CPU, como ARM, MIPS, x86_64 e x86. Além disso, utilizou vários métodos de ataque como UDP Flood (41%), ACK Flood (24%) e VSE Flood (12%).

De acordo com Raphael Dias, arquiteto de soluções da NSFOCUS para América Latina, a infraestrutura da botnet tem cinco servidores C&C integrados, selecionados aleatoriamente para conexões. “Seu arsenal compreendia 19 vetores diferentes de ataque, o que demonstra a sua sofisticação e algo sem precedentes”, afirma.

Ele explora a vulnerabilidade de acesso não autorizado Hadoop Yarn RPC por meio de uma função chamada yarn_init, potencialmente concedendo privilégios elevados aos invasores. Além disso, foram criados vários arquivos de sistema e scripts para persistência, que garantiram o download e a execução automáticos de um script malicioso chamado ‘lol.sh’ de http[:]//pen.gorillafirewall.su/.

Dias completa que “o malware também incorpora medidas anti-honeypot, por meio das quais ele verifica a existência do sistema de arquivos/proc para detectar possíveis armadilhas de segurança”.