HinataBot

Um botnet baseado em Golang recém-descoberto, apelidado de HinataBot, foi visto explorando vulnerabilidades conhecidas para violar roteadores e servidores e usá-los para ataques distribuídos de negação de serviço (DDoS). O nome da ameaça é baseado em um personagem da popular série de anime Naruto com muitas estruturas de nome de arquivo com o formato 'Hinata--.' Detalhes sobre a ameaça foram divulgados pelos pesquisadores de segurança cibernética da Akamai.

Acredita-se que os criminosos por trás do HinataBot estejam ativos desde dezembro de 2022, pelo menos. Naquela época, eles estavam tentando utilizar uma variante comum do Mirai baseada em Go antes de mudar para suas próprias ameaças de malware personalizadas a partir de 11 de janeiro de 2023. Acredita-se que o HinataBot ainda esteja em desenvolvimento ativo.

Os Cibercriminosos Contam com Vulnerabilidades
Conhecidas por Violar Dispositivos e Implantar o HinataBot

O malware HinataBot está sendo distribuído por meio de vários métodos, incluindo a exploração de servidores Hadoop YARN expostos. Vulnerabilidades em dispositivos Realtek SDK (CVE-2014-8361) e roteadores Huawei HG532 (CVE-2017-17215, pontuação CVSS: 8,8) também são abusadas pelos agentes de ameaças como uma forma de estabelecer uma posição nos sistemas visados.

Vulnerabilidades não corrigidas e credenciais fracas têm sido um alvo fácil para os invasores devido aos seus requisitos de baixa segurança em comparação com táticas mais sofisticadas, como engenharia social. Esses pontos de entrada fornecem uma via de ataque bem documentada que pode ser facilmente explorada.

HinataBot Pode Ser Capaz de Lançar Ataques DDoS Devastadores de 3,3 Tbps

O HinataBot é capaz de estabelecer contato com um servidor de Comando e Controle (C2, C&C) como forma de receber instruções dos agentes de ameaças. O malware pode ser instruído a lançar ataques DDoS contra endereços IP direcionados por um período de tempo escolhido.

As versões anteriores do HinataBot usavam vários protocolos diferentes, como HTTP, UDP, TCP e ICMP, para os ataques DDoS; no entanto, esta última iteração da ameaça manteve apenas dois - os protocolos HTTP e UDP. A razão para descartar os outros protocolos permanece desconhecida neste momento.

Os pesquisadores alertam que o HinataBot pode ser utilizado para lançar ataques DDoS massivos. Por exemplo, tendo 10.000 bots participando de um ataque simultaneamente, uma inundação de UDP poderia gerar tráfego de pico de até 3,3 Tbps (Terabit por segundo), enquanto uma inundação de HTTP produziria cerca de 27 Gbps em volume de tráfego.