E se a sua box, a sua TV ou o seu smartphone participassem de um ataque cibernético sem você saber? Isto é o que acontece quando uma botnet assume o controle de um dos seus dispositivos. Graças a uma nova ferramenta gratuita da GreyNoise, você pode verificar em segundos se seus dispositivos ingressaram em uma rede de terminais comprometidos. Explicaremos como.
Nos últimos meses, as botnets causaram estragos em todo o mundo. No mês passado, os pesquisadores do QiAnXin XLab descobriram que o botnet Kimwolf conseguiu assumir o controle de mais de 1,8 milhão de dispositivos Android. Algumas semanas antes, o botnet Badbox 2.0 causou estragos ao invadir mais de 30.000 dispositivos Android.
Leia também: Uma das botnets mais poderosas “que já existiram” foi desmantelada
O que é uma botnet?
Para quem ainda não sabe, botnet se refere a uma rede de dispositivos invadidos por um vírus. Controlados remotamente por hackers, os dispositivos podem então ser usados para orquestrar operações criminosas. A palavra botnet vem da contração entre “robô” e “rede”, ou seja, rede em inglês. Computadores, smartphones, caixas de Internet, câmeras IP, TVs conectadas, objetos IoT, servidores… Todos os dispositivos conectados à Internet provavelmente estarão na mira de uma botnet.
Para assumir o controle de um desses dispositivos, os hackers geralmente contam com vulnerabilidades de segurança. Os hackers por trás de uma botnet visam especificamente dispositivos obsoletos ou em fim de vida. Privados de atualizações de segurança, eles ficam repletos de vulnerabilidades de segurança que ficam abertas, ao alcance do primeiro invasor. Muitas vezes, os ataques de botnets também exploram a negligência do usuário. Uma palavra fraca e fácil de adivinhar é um dos erros que abre a porta para botnets.
Leia também: O botnet Badbox 2.0 continua a crescer e afeta “milhões de dispositivos”, alerta o FBI
Botnets, os reis dos ataques DDoS
Uma vez nas mãos dos cibercriminosos, os dispositivos comprometidos podem ser usados para atividades ilícitas. Entre os casos de uso preferidos pelos hackers, encontramos ataques distribuídos de negação de serviço, ou Distribuído Negação de serviço (DDoS). Esses ataques cibernéticos consistem em inundar um site, servidor ou serviço online com solicitações para torná-lo mais lento ou completamente inutilizável.
Paralelamente à explosão das botnets, os ataques DDoS aumentaram e tornaram-se cada vez mais poderosos. Quanto mais dispositivos um botnet tiver sob seu controle, mais intensos serão seus ataques… e mais propensos a travar um serviço inteiro. A Cloudflare também registrou uma sucessão de ataques DDoS cada vez mais poderosos desde meados do ano passado. Os ataques até quebraram todos os recordes. O ataque DDoS mais poderoso de todos os tempos ocorreu em dezembro. É o trabalho do botnet Aisuru, um vírus formidável derivado do famoso botnet Mirai, que apareceu há cerca de dez anos. O mesmo vírus está por trás do último ataque cibernético gigante que atingiu os servidores Microsoft Azure.
Como eliminar uma botnet que assumiu o controle de seus dispositivos?
Nesse contexto, Ruído Cinzentouma empresa de segurança cibernética e inteligência, colocou online uma ferramenta que permite verificar se objetos conectados foram invadidos por um botnet. Totalmente gratuita, a ferramenta irá analisar o seu endereço IP, nomeadamente o endereço numérico único que identifica cada dispositivo ligado à Internet.
Em apenas alguns segundos, você saberá se o endereço IP da sua rede de Internet está envolvido nas atividades realizadas por uma rede de dispositivos hackeados. Poderá assim verificar, com apenas um clique, todos os dispositivos ligados à sua rede, seja a sua box, o seu smartphone, o seu tablet, a sua televisão ou um acessório ligado. Em uma rede doméstica, todos os seus dispositivos vão para o mesmo endereço IP público. Se o endereço IP estiver envolvido em uma botnet, pelo menos um dispositivo foi comprometido.
Concretamente, o scanner GreyNoise comparará seu endereço IP com a lista de endereços IP usados por botnets. Na verdade, a empresa possui um banco de dados de endereços IP que realizam ataques cibernéticos. Um alerta aparecerá se o IP em questão for pego envolvido em atividades maliciosas 90 dias antes da verificação. Para cada IP conhecido, o GreyNoise mantém suas observações na memória por um período de 90 dias.
“O GreyNoise monitora o ruído da Internet: o fluxo interminável de scanners, bots e sondas que têm como alvo todos os endereços IP do planeta. Catalogamos bilhões dessas interações”explica GreyNoise, enfatizando que seus sensores são “no centro desses ataques, a coleta de dados telemétricos valiosos durante suas interações”.
Para testar o seu endereço IP, basta aceder ao site colocado online pela GreyNoise, nomeadamente Verificação de IP GreyNoise. Assim que você abrir o site, a verificação será iniciada. Alguns segundos depois, um banner verde aparecerá se o seu endereço IP tiver sido apagado.
Seu endereço IP “não foi observado na varredura da Internet ou listado no conjunto de dados do Common Business Services”nomeadamente a lista de endereços IP utilizados por grandes serviços online legítimos, explica Greynoise em seu site. Claramente, não esteve envolvido num ataque cibernético e não pertence a um grande serviço de Internet (VPN, empresarial ou nuvem). Para realizar a verificação, você deve obviamente desativar sua possível VPN.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.