Reaper, a nova botnet IoT

No dia 19 de outubro, uma equipe de pesquisadores de segurança identificou uma nova botnet IoT, que já havia infectado “cerca de um milhão de organizações” e estava pronta para “derrubar a internet”. A imprensa divulgou a descoberta, que rapidamente repercutiu nas mídias sociais.

Nosso time ASERT (Arbor’s Security Engineering & Response Team) vem analisando ativamente a botnet IoT Reaper:

– Atualmente, o tamanho real da Reaper varia entre 10 mil e 20 mil bots, no total (embora isso possa mudar a qualquer momento);

– Os scanners identificaram mais 2 milhões de hosts como potenciais nós da Reaper, que não foram incluídos na botnet.

Neste momento, não está claro por que esses bots potenciais não foram cooptados pela botnet. Entre as possíveis explicações, estão: identificação incorreta em função de falhas no código de digitalização; problemas de escalabilidade/desempenho na infraestrutura de injeção de código Reaper; decisão deliberada dos responsáveis, relativa ao mecanismo de propagação.

Nossa avaliação atual sobre a Reaper é de que ela provavelmente será usada como um serviço booter/stresser, servindo principalmente ao mercado interno chinês de DDoS.

A botnet Reaper parece ser um produto dos subterrâneos do crime chinês; parte do código geral da Reaper é baseado no malware da botnet Mirai IoT, mas não se trata de um clone.

A Reaper pode lançar ataques de inundação SYN, ACK, http e de reflexão/amplificação de DNS, mas é provável que surjam novos recursos para ataques DDoS.

O ASERT continuará a analisar o malware da botnet e a monitorar quaisquer sinais de ataque. Enquanto isso, a empresa chinesa de segurança na internet Qihoo publicou algumas análises interessantes sobre a botnet IoT Reaper, em inglês:

http://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/

http://blog.netlab.360.com/iot_reaper-a-few-updates-en/