Especialistas em cibersegurança da Nokia estão a acompanhar uma botnet, baptizada Eleven11bot, que tem estado a levar a cabo o que é provavelmente o maior ataque de negação de serviço (DDoS) dirigido alguma vez registado. Estima-se que rede seja composta por cerca de 30.000 webcams e gravadores de vídeo. A rede é internacional, mas a Nokia diz que a maior concentração de dispositivos comprometidos (24.4%) está nos Estados Unidos. Embora não seja a maior botnet alguma vez registada, realizou o maior ataque observado de sempre, atingindo um pico de 6.5 terabits por segundo, ultrapassando o recorde anterior de 5.6 Tbps estabelecido em Janeiro, de acordo com a Cloudflare.
A equipa de resposta de emergência Deepfield da Nokia detectou a Eleven11bot após um aumento de endereços IP dispersos geograficamente que lançaram vários “ataques hiper-volumétricos” no final de Fevereiro. Ao contrário dos ataques DDoS tradicionais que visam os recursos dos servidores, os ataques volumétricos inundam as redes com quantidades maciças de dados para sobrecarregar a capacidade de largura de banda. Os ataques hiper-volumétricos da Eleven11bot visaram fornecedores de serviços de comunicações, infraestruturas de hospedagem de videojogos e outros sectores, causando interrupções que duraram até uma semana em alguns casos.
O especialista em cibersegurança da Nokia, Jérôme Meyer, observou que a maioria dos endereços IP envolvidos nestes ataques não tinha sido previamente associada a actividade DDoS, tornando o súbito surgimento da Eleven11bot particularmente preocupante. Ele também salientou que a última botnet comparável desta escala foi observada em 2022, pouco depois da invasão russa da Ucrânia, com aproximadamente 60.000 dispositivos infectados.
“Esta botnet é muito maior do que aquilo a que estamos habituados a ver em ataques DDoS,” disse Meyer. “A intensidade dos ataques tem variado bastante, variando de algumas centenas de milhares a várias centenas de milhões de pacotes por segundo (pps).”
Embora a Nokia tenha inicialmente estimado que a botnet consistia em cerca de 30.000 dispositivos, a organização sem fins lucrativos Shadowserver Foundation reviu este número para mais de 86.000. Por outro lado, a empresa de segurança Greynoise contrariou com uma estimativa muito menor de menos de 5.000 dispositivos, com a maior actividade IP (61%) a originar-se no Irão. Meyer disse que o número da Shadowserver era provavelmente uma sobrestimação devido à forma como identificava dispositivos infectados, assumindo erroneamente que a informação única do dispositivo significava que um dispositivo estava comprometido. Ele continua confiante na estimativa da sua equipa, uma vez que ataques repetidos originaram dos mesmos 20.000-30.000 endereços IP observados.
Investigadores da Greynoise acreditam que a Eleven11bot é uma nova variante do Mirai, o conhecido malware que surgiu pela primeira vez em 2016. As botnets baseadas em Mirai infectam tipicamente dispositivos da Internet das Coisas (IoT) explorando credenciais padrão ou vulnerabilidades de software. Os investigadores acreditam que a variante Eleven11bot utiliza um exploit recém-descoberto para comprometer gravadores de vídeo digitais Shenzhen TVT-NVMS 9000 que usam chips HiSilicon.
Para proteger contra a Eleven11bot ou qualquer outra botnet, os especialistas recomendam colocar dispositivos IoT atrás de firewalls, desactivar a administração remota quando não for necessária, e garantir que os dispositivos têm passwords fortes e únicas. Actualizações regulares de firmware são também críticas para corrigir vulnerabilidades que botnets como a Eleven11bot poderiam explorar.
