Após algumas semanas de pesquisa e análises mais aprofundadas, o Sistema Global de Caça a Ameaças da NSFOCUS detectou que um arquivo elfo desconhecido estava se espalhando amplamente, tratando-se de uma nova família de botnets. Com isso, NSFOCUS Security Research Labs nomeou o Trojan botnet como RDDoS.

>>>Clique aqui para ler mais conteúdo sobre cybersecurity

Os dados do monitoramento mostram que o RDDoS tende a usar o método ICMP_flood para lançar ataques DDoS 24 horas por dia, e quase 80% das atividades são realizadas dessa forma. Entre os países atingidos, estão os Estados Unidos (36%), Brasil (22%) e França (15%).

Executando comandos

A principal função do RDDoS é lançar ataques DDoS com a capacidade de executar comandos, o que torna a ameaça ainda mais eficaz. Ele também define parâmetros on-line para distinguir o tipo de dispositivos infectados e, ao mesmo tempo, separa-os de sandboxes reais, caso o pacote on-line tenha parâmetros operacionais.

A ameaça altera primeiro o diretório de trabalho do processo atual para o diretório raiz durante a operação e, em seguida, cria um subprocesso eficaz e capaz de manter a execução das funções subsequentes.

Existem duas maneiras do terminal controlado ser executado no host vítima, com e sem parâmetros. Diferentes maneiras determinam o conteúdo do pacote online quando ele é lançado pela primeira vez. Presume-se que a intenção do criminoso é fazer um julgamento de acordo com o conteúdo online, sendo que os parâmetros online podem ser usados para distinguir o tipo de dispositivo infectado.

Além disso, se o pacote online tiver parâmetros corretos, o terminal controlado foi emitido pelo invasor. Caso ele não carregue durante a execução, a string “desconhecida” é inserida no conteúdo online, indicando que o Trojan pode estar em um ambiente sandbox.

No processo de estabelecimento de uma conexão com o terminal de controle, serão unidos os parâmetros da linha de comando como um pacote online. Caso nenhum parâmetro seja transmitido, a string “desconhecida” será emendada.

Após a conclusão da operação on-line, o terminal controlado aguarda uma instrução emitida pelo terminal de controle e avalia as operações subsequentes de acordo com parâmetros como comprimento da instrução e valor do primeiro byte.

RDDoS foi construído do zero

O RDDoS é uma nova família de botnets construída do zero. Recentemente, seus controladores atualizaram e iteraram continuamente o Trojan para adicionar novos métodos de ataque DDoS e melhorar suas funções. Vale ressaltar que também possui uma capacidade de execução de comandos, o que aumenta ainda mais o nível que a ameaça que representa.

Segundo Raphael Tedesco, gerente da NSFOCUS para América Latina, nos últimos anos, tem sido comum que os invasores usem botnets como canais e, em seguida, lancem ataques APT ou Ransomware com base neles. “É importante que todos reforcem a atenção em relação a este tipo de botnet, uma vez que a maioria das famílias de botnets emergentes, embora pareçam ser trojans de aparência extremamente simples, podem ter um fluxo constante de variantes”, reforça.

Sobre a NSFOCUS

Fundada em 2000, a NSFOCUS é reconhecida como uma das líderes do mercado mundial em soluções de rede e segurança cibernética. Hoje, opera globalmente com mais de 5.000 funcionários em duas sedes em Pequim e uma em Milpitas, na Califórnia, além de 40 escritórios espalhados pelo mundo.

A NSFOCUS iniciou suas operações na América Latina em 2016 pelo Brasil e, desde então, já expandiu os negócios para o Chile, Peru, Colômbia, Argentina, Equador e México.

Dentre os mais de 9 mil clientes, seis dos 10 líderes globais de telecomunicações, e quatro das cinco maiores instituições financeiras do mundo, são protegidas pela empresa.

Image by Pixaby/Pete Linforth