O botnet HEH contém código que pode limpar todos os dados de sistemas infectados, como roteadores, servidores e dispositivos da Internet das Coisas (IoT).
O malware se espalha lançando ataques de força bruta contra qualquer sistema conectado à internet que tenha suas portas SSH (23 e 2323) expostas online. Se o dispositivo usar credenciais SSH padrão ou fáceis de adivinhar, o botnet obtém acesso ao sistema, onde imediatamente baixa um dos sete binários que instalam o malware HEH.
Novo botnet HEH pode limpar roteadores e dispositivos IoT
Os únicos recursos presentes neste malware são uma função que enlaça dispositivos infectados e os coage a realizar ataques SSH de força bruta pela internet para ajudar a ampliar o botnet; um recurso que permite que os invasores executem comandos Shell no dispositivo infectado. Uma variação desse segundo recurso executa uma lista de operações Shell predefinidas que apagam todas as partições do dispositivo.
O botnet foi descoberto por pesquisadores de segurança da Netlab. Por se tratar de um botnet relativamente novo, os pesquisadores não podem dizer se a operação de limpeza do dispositivo é intencional ou se é apenas uma rotina de autodestruição mal codificada. Portanto, se esse recurso for acionado, pode resultar em centenas ou milhares de dispositivos bloqueados e que não funcionam.
Isso pode incluir roteadores domésticos, dispositivos IoT e até mesmo servidores Linux. Uma vez que limpar todas as partições, também limpará o firmware ou sistema operacional do dispositivo (esta operação tem o potencial de bloquear temporariamente os dispositivos) até que seu firmware ou sistemas operacionais sejam reinstalados.
No entanto, em alguns casos, isso pode significar sistemas bloqueados permanentemente, pois alguns proprietários de dispositivos podem não ter o conhecimento para reinstalar o firmware em seus equipamentos IoT e podem simplesmente escolher jogar fora o antigo e comprar um novo dispositivo.
Por fim, a Netlab disse que detectou amostras HEH que podem rodar nas seguintes arquiteturas de CPU: x86 (32/64), ARM (32/64), MIPS (MIPS32/MIPS-III) e PPC.
Fonte: ZDNET
Malware FritzFrog ataca servidores Linux por SSH para minerar Monero
