Novo Botnet Gorilla desencadeia mais de 300.000 ataques DDoS em 100 países
A segurança cibernética está enfrentando uma nova ameaça, e seu nome é Gorilla — também conhecido como GorillaBot. Este botnet, uma variante do famoso botnet Mirai, desencadeou uma torrente de ataques de Negação de Serviço Distribuída (DDoS), ultrapassando 300.000 ataques em 100 países em apenas algumas semanas. De acordo com a empresa de segurança cibernética NSFOCUS, essa onda implacável de ataques ocorreu entre 4 e 27 de setembro de 2024, criando um caos global.
Table of Contents
A extensão do alcance do Gorilla Botnet
Em pouco menos de um mês, a botnet Gorilla emitiu uma média de 20.000 comandos de ataque DDoS por dia. Países como EUA, China, Canadá e Alemanha surgiram como seus principais alvos, com uma ampla gama de setores — universidades, provedores de telecomunicações, bancos e até mesmo as indústrias de jogos e apostas — sendo atingidos. O que torna isso ainda mais alarmante é a escala em que esses ataques estão acontecendo.
O botnet utiliza principalmente vários vetores de ataque, incluindo UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood e ACK flood. Esses métodos são projetados para sobrecarregar os sistemas alvos com tráfego, dificultando, se não impossibilitando, que eles funcionem normalmente. De particular preocupação é o uso de ataques de UDP flood, que exploram a natureza sem conexão do protocolo UDP para gerar uma quantidade esmagadora de tráfego falsificando endereços IP de origem.
Um malware altamente sofisticado
Além do seu grande volume, o que diferencia o botnet Gorilla é sua sofisticação. O botnet é projetado para funcionar em várias arquiteturas de CPU, incluindo ARM, MIPS, x86_64 e x86, permitindo que ele se infiltre em uma ampla gama de dispositivos. Uma vez que o malware infecta um sistema, ele se conecta a um dos cinco servidores de comando e controle (C2) predefinidos para receber novos comandos DDoS.
Além disso, o malware tira proveito de uma vulnerabilidade conhecida no Apache Hadoop YARN RPC, uma falha que vem sendo explorada desde 2021. Ao fazer isso, o botnet Gorilla obtém execução remota de código em dispositivos infectados, dando a ele a capacidade de manter controle de longo prazo sobre esses sistemas. A persistência é garantida pela criação de arquivos de serviço que executam automaticamente um script de shell sempre que o sistema é inicializado ou um usuário faz login.
Estratégias de contra-detecção
O que é realmente preocupante sobre o Gorilla é o quão bem ele evita a detecção. De acordo com a NSFOCUS, o botnet emprega técnicas de criptografia para ocultar informações importantes, dificultando que profissionais de segurança cibernética detectem e neutralizem o malware. Ele também toma emprestado métodos de criptografia do grupo Keksec, um coletivo notório conhecido por desenvolver malware voltado para dispositivos IoT e sistemas de nuvem. A combinação dessas estratégias permite que o botnet Gorilla mantenha o controle sobre dispositivos infectados por longos períodos sem ser detectado.
Por que você deve se importar
A rápida expansão do botnet Gorilla e sua capacidade de realizar ataques DDoS em larga escala em uma gama tão ampla de setores o tornam uma ameaça formidável para empresas, governos e indivíduos. À medida que os dispositivos IoT se tornam cada vez mais comuns em residências e indústrias, o risco de ataques impulsionados por botnets continua a crescer. Para organizações, especialmente aquelas nos setores visados, tomar medidas imediatas para fortalecer as defesas de segurança cibernética é crucial para mitigar esses tipos de ataques.
O surgimento da botnet Gorilla é um lembrete gritante de que as ameaças cibernéticas estão evoluindo, se tornando mais agressivas e sofisticadas. Seja você um indivíduo gerenciando dispositivos de IoT em casa ou uma empresa executando infraestrutura crítica, ficar à frente dessas ameaças requer vigilância constante e medidas proativas de segurança cibernética. Com botnets como Gorilla à solta, agora não é hora de ser complacente.
As organizações devem trabalhar em estreita colaboração com empresas de segurança cibernética e se manter atualizadas sobre as últimas vulnerabilidades e ameaças para proteger suas redes.
