O FBI emitiu um alerta nesta segunda-feira (16) sobre ataques do malware HiatusRAT, que estão visando webcams e DVRs expostos à internet e sem proteção adequada. Os dispositivos afetados são, em sua maioria, modelos chineses vulneráveis que aguardam atualizações de segurança ou que já não recebem suporte devido ao fim de vida útil.
De acordo com a notificação da indústria privada (PIN), os ataques do HiatusRAT cresceram desde março de 2024, quando cibercriminosos iniciaram varreduras de dispositivos IoT em países como EUA, Austrália, Canadá, Nova Zelândia e Reino Unido.
Os invasores exploram principalmente falhas conhecidas, como:
- CVE-2017-7921
- CVE-2018-9995
- CVE-2020-25078
- CVE-2021-33044
- CVE-2021-36260
Além dessas vulnerabilidades, senhas fracas e padrões configuradas pelos fornecedores também facilitam a exploração.
Principais alvos dos ataques
As marcas mais visadas são Hikvision e Xiongmai, com os ataques focados em dispositivos com porta Telnet exposta. Ferramentas de código aberto, como Ingram (usada para escaneamento de webcams) e Medusa (para força bruta em senhas), são utilizadas pelos atacantes.
Entre as portas TCP visadas estão:
23, 26, 554, 2323, 567, 5523, 8080, 9530 e 56575.
Notícias Relacionadas
Alerta de segurança
Alerta de phishing tenta roubar frases de recuperação do Ledger com e-mails falsos
Uma nova campanha de phishing finge ser uma notificação de violação de dados do Ledger para roubar frases de recuperação e criptomoedas dos usuários. Descubra como evitar esse golpe.
Segurança cibernética
Hackers exploram WebView2 para espalhar malware CoinLurker e escapar da detecção
Criminosos estão usando falsas atualizações de software para distribuir o malware CoinLurker, que se aproveita do WebView2 do Microsoft Edge para evitar detecção e coletar dados de criptomoedas e credenciais de usuários.
Recomendações do FBI
O FBI orienta administradores de redes e profissionais de segurança a:
- Limitar ou isolar dispositivos IoT vulneráveis do restante da rede;
- Monitorar comportamentos suspeitos que possam indicar comprometimentos;
- Relatar incidentes ao Internet Crime Complaint Center do FBI ou ao escritório local.
Além disso, o FBI destaca a importância de atualizar dispositivos e desativar portas desnecessárias para reduzir a exposição aos ataques.
Contexto das campanhas HiatusRAT
Os ataques recentes fazem parte de uma evolução do malware HiatusRAT, que anteriormente:
- Visou servidores do Departamento de Defesa em campanhas de reconhecimento;
- Comprometeu roteadores DrayTek Vigor VPN em empresas das Américas e Europa, criando redes proxy secretas para ocultar atividades maliciosas.
A Lumen, empresa responsável por identificar o HiatusRAT, explica que o malware atua instalando cargas adicionais nos dispositivos infectados, convertendo-os em proxies SOCKS5 para comunicação com servidores de controle.
A ligação com interesses chineses
Segundo a avaliação anual de ameaças de 2023 do Gabinete do Diretor de Inteligência Nacional, a mudança na estratégia do HiatusRAT para direcionar webcams e DVRs está alinhada aos interesses estratégicos chineses.
