Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Redes de Bots Botnet RondoDox

Botnet RondoDox

Por Mezo em Redes de Bots
Traduzir Para:

Campanhas de malware que utilizam a botnet RondoDox expandiram drasticamente sua superfície de ataque, atingindo agora mais de 50 vulnerabilidades em mais de 30 fornecedores. Especialistas em segurança descrevem essa abordagem como uma "espingarda de exploração", refletindo o direcionamento indiscriminado de uma ampla gama de infraestruturas expostas à internet. Os sistemas afetados incluem roteadores, gravadores de vídeo digitais (DVRs), gravadores de vídeo em rede (NVRs), sistemas de CFTV, servidores web e diversos outros dispositivos conectados à rede.

Primeiras intrusões e contexto histórico

A primeira atividade notável do RondoDox foi observada em julho de 2025, quando pesquisadores documentaram ataques a DVRs TBK e roteadores Four-Faith. Esses dispositivos estavam sendo recrutados para uma botnet projetada para realizar ataques distribuídos de negação de serviço (DDoS) nos protocolos HTTP, UDP e TCP.

Uma tentativa específica de intrusão foi detectada em 15 de junho de 2025, visando roteadores TP-Link Archer via CVE-2023-1389, uma falha repetidamente explorada desde sua divulgação no final de 2022. Esses incidentes destacam a evolução contínua do RondoDox de ataques oportunistas a dispositivos únicos para campanhas mais amplas e coordenadas.

Distribuição expandida por meio do Loader-as-a-Service

A RondoDox adotou recentemente um modelo de carregador como serviço (LaaS), empacotando seu payload junto com os malwares Mirai e Morte. Essa tática permite que invasores distribuam múltiplas ameaças simultaneamente, complicando os esforços de detecção e remediação.

As principais características desta campanha expandida incluem:

  • Uso de credenciais fracas, entradas não higienizadas e CVEs legados para comprometer dispositivos
  • Segmentação de roteadores SOHO, dispositivos IoT e aplicativos corporativos
  • Exploração multivetorial, sinalizando uma mudança do oportunismo de dispositivo único para a implantação coordenada de botnets

Arsenal de Exploração Ampla

O RondoDox agora utiliza quase 56 vulnerabilidades, 18 das quais permanecem sem identificadores CVE. Os sistemas explorados abrangem uma ampla gama de fornecedores, incluindo:

D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion e Cisco.

Esse arsenal crescente demonstra a sofisticação crescente da botnet e sua capacidade de explorar vulnerabilidades conhecidas e até então não documentadas.

Implicações para a segurança cibernética

As campanhas mais recentes do RondoDox representam uma evolução significativa na exploração automatizada de redes. Ao combinar operações de loader-as-a-service com um conjunto expandido de exploits, os invasores estão evoluindo de ataques oportunistas em dispositivos únicos para operações estratégicas de botnets multivetoriais.

As equipes de segurança devem permanecer vigilantes, priorizando a correção de vulnerabilidades conhecidas, monitorando atividades suspeitas na rede e implantando ferramentas de detecção proativas para mitigar o risco representado por essas ameaças em rápida evolução.

Tendendo

German Federal Criminal Police Ransomware (BKA)...

Segurança do Computador
Ultimamente, as ameaças de ransomware cresceram em abundância, aproveitando uma infinidade de falsas alegações, desde as autoridades policiais locais que detectam a distribuição de software ilegal até a exibição de pornografia infantil. Mais recentemente, notificamos uma ameaça específica de ransomware, apelidada de BKA da Polícia Criminal Federal da Alemanha (BKA), que teve casos em que na...

Mais visto

Carregando...