Linux/DdoSMan
O Linux/DdoSMan é uma variante do Elknot, um botnet usado para realizar ataques de DDoS (Negação de Serviço Distribuída) que podem ser executados em ambientes executando o sistema operacional do Windows ou Linux. O Linux/DdoSMan usa o Elknot e o ELF, duas famílias conhecidas de malware de bot que são usadas nesses ataques. Um dos principais aspectos que distinguem o Linux/DdoSMan de outras ameaças semelhantes é que os principais alvos pretendidos do Linux/DdoSMan parecem ser roteadores executando ambientes Linux. Os ataques relacionados ao Linux/DdoSMan são usados para derrubar servidores ou redes, inundando-os com tráfego de várias fontes comprometidas para impedir que solicitações legítimas passem. Essencialmente, ameaças como Linux/DdoSMan trabalham em conjunto para sobrecarregar um servidor com solicitações, fazendo com que ele seja desligado, pois não pode atender a clientes legítimos.
Índice
Como Funciona o Ataque do Linux/DdoSMan
As presas mais comuns para ataques DDoS são servidores da Web, servidores de alto perfil que podem fornecer pagamentos lucrativos para os invasores pararem particularmente. O poder de realizar esses ataques vem da capacidade dos criminosos de comprometer milhares ou até milhões de dispositivos, muitas vezes visando os chamados dispositivos da Internet das Coisas, como roteadores ou câmeras de segurança que estão conectados à Internet, mas não são usados para computação pessoal. Esses dispositivos podem ter firmware sem correção ou software desatualizado que permite que os criminosos os integrem a uma botnet usando malware como Linux/DdoSMan. O botnet e malware do Linux/DdoSMan chamou a atenção dos pesquisadores de segurança de PCs especificamente por causa de seus alvos pretendidos usando o Linux, um sistema operacional on-line muito mais comum em servidores e outros dispositivos, e aumentando bastante o potencial desses ataques.
Desenvolvimentos Recentes do Linux/DdoSMan
Não há dúvida de que o Linux/DdoSMan está vinculado ao ELF e ao Elknot e está sendo usado em ataques originados na China atualmente. O código do Linux/DdoSMan parece inspirado ou intimamente relacionado ao código de várias outras ameaças de malware de bot que também são originárias da China. As ameaças de malware DDoS originárias da China estão ativas desde pelo menos 2010, com um rápido crescimento começando em 2012 com o lançamento do ELF e continuando a crescer exponencialmente até 2014. Desde então, houve referências a novas variantes nessas famílias, até o versões atualizadas recentes dessas ameaças, projetadas para atingir ambientes Linux. Não há dúvida de que o Linux/DdoSMan parece incluir várias instâncias do código antigo e novo, projetado para executar ataques DDoS.
Protegendo Dispositivos e Computadores contra Ameaças como Linux/DdoSMan
O objetivo de malware e redes de bots, tais como o Linux/DdoSMan, é integrar o maior número de dispositivos na vasta rede de bots, usando-os em coordenação para realizar ataques. Por isso, podem ser muito difíceis de interromper, principalmente porque se tornam mais eficazes quanto maiores. É por isso que lidar com essas ameaças requer um esforço coordenado de administradores de servidores, fabricantes de dispositivos e usuários de computador.
Os administradores de servidor podem estabelecer medidas de mitigação de DDoS nos seus sites e servidores, reduzindo bastante a eficácia desses ataques. Os administradores de servidor devem garantir que seus servidores sejam protegidos com fortes medidas de segurança adequadamente, pois ameaças como Linux/DdoSMan são projetadas para se espalharem por toda a rede se houver uma violação, seja por meio de um ponto de acesso físico ou de engenharia social. Os fabricantes de dispositivos devem garantir que os patches de segurança e as atualizações de firmware sejam lançados constantemente. Muitos dos dispositivos infectados pelas botnets da Internet of Things, como os que usam Linux/DdoSMan, estão comprometidos porque os fabricantes pararam de dar suporte aos dispositivos e deixaram vulnerabilidades sem correção, ou ainda não estabeleceram maneiras de atualizar esses dispositivos regularmente. Os usuários de computador devem proteger todos os dispositivos e usar senhas fortes, sempre evitando as configurações padrão de fábrica.
