Sempre se disse que Linux era um sistema invulnerável, que não havia vírus e que é muito mais seguro do que outras alternativas, como Windows ou macOS. No entanto, embora seja verdade que este sistema nos oferece mais segurança em relação aos seus rivais, está longe de ser a fortaleza que muitos se orgulham. E não apenas por vírus que podem afetá-lo diretamente, mas também por malware remoto, que ataca diretamente programas ou protocolos, contra os quais não podemos fazer nada. E é isso que o novo RapperBot faz.
RapperBot é um novo botnet que está em operação desde meados de junho deste ano. Este malware é especializado em realizar ataques de força bruta no protocolo SSH de todos os tipos de servidores Linux. Com isso, visa estabelecer uma conexão com o computador, acessá-lo e poder tanto acessar os dados armazenados no servidor quanto movimentar-se pela rede em busca de outros computadores.
Este novo malware é baseado no Mirai, um Trojan que infecta dezenas de milhares de dispositivos Linux há alguns anos para criar uma das maiores redes de computadores para alugá-la ao maior lance para todos os tipos de ataques de computador. No entanto, embora baseado nele, o RapperBot é um pouco diferente, pois os hackers têm mais controle sobre sua expansão e não busca focar na realização de ataques DDoS, mas na conexão remota a computadores e movimentação lateral dentro de uma rede. líquido.
Os hackers controlam essa botnet por meio de um painel C2. Dessa forma, eles podem indicar alvos e enviar listas de usuários SSH para testar, com força bruta, qual deles permite a conexão. É capaz de se conectar a qualquer servidor SSH com Troca de chaves Diffie-Hellmann com chaves de 768 bits ou 2048 bits e criptografia AES128-CTR.
Em apenas um mês e meio, esse malware escaneou e atacou mais de 3,500 endereços IP. E parece, além disso, que está mais vivo do que nunca.
Como mitigar esses ataques
Ataques de força bruta não dependem de uma falha de segurança em um programa ou protocolo, então não podemos esperar que um patch mágico nos proteja de repente. Portanto, não há como nos proteger completamente contra essa ameaça, mas o que temos a fazer é mitigar seu impacto e evitar que sejamos a próxima vítima.
Para fazer isso, a primeira e mais óbvia coisa é que, se não usarmos SSH, devemos desativar o serviço em nosso Linux. Isso nos impedirá de nos conectar remotamente ao sistema, mas ao mesmo tempo garante que não cairemos nas garras desses hackers. Outra maneira possível de nos protegermos é configurar a segurança para bloquear conexões após um número limitado de tentativas . Assim, por exemplo, se as conexões forem bloqueadas após 10 tentativas com falha por 10 minutos, os ataques de força bruta se tornarão ineficazes.
Outras dicas para mitigar o impacto do malware são as típicas, como não usar usuários padrão, usar senhas longas, aleatórias e fortes e alterar a porta padrão.
