Satori é uma família de software malicioso cujos representantes infectam roteadores, câmeras de vigilância e outros dispositivos da Internet das Coisas. O objetivo é a formação de redes de bots, que permite executar várias tarefas - de DDoS a tarefas mais complexas, como mineração. Mas agora apareceu um novo representante dessa família, que não mina nada, mas simplesmente rouba as moedas extraídas.
Em 8 de janeiro, representantes da empresa chinesa de segurança da informação Netlab 360 publicaram um relatório relatando a detecção de malware que estraga os sistemas de mineração. A nova versão do Satori explora vulnerabilidades no
Claymore Miner , substituindo o endereço de bolsas de proprietários de equipamentos de mineração por bolsas de intrusos.
Como o equipamento continua a funcionar normalmente, o mineiro pode não detectar imediatamente o problema. Obviamente, depois que as moedas extraídas param de chegar à carteira, isso atrai a atenção. Mas, em alguns casos, podem demorar dias até que esse problema seja percebido. Esse malware ainda não pode ser chamado de maciço.
A carteira é conhecida e também quanto dinheiro há. Durante todo o tempo, apenas duas moedas do Ethereum foram extraídas, de modo que os desenvolvedores de worms (até agora) não receberam grandes rendimentos. Mas se o vírus for infeccioso, os fluxos financeiros podem aumentar muitas vezes. Atualmente, o desempenho do equipamento capturado pelo malware é de cerca de 2,1 milhões de hashes por segundo. Esse poder pode ser desenvolvido por 85 PCs com uma placa Radeon Rx 480 ou 1135 computadores com placas GeForce GTX 560M.
Tanto quanto se pode julgar, o desempenho do equipamento não aumenta muito, provavelmente o vírus não infecta novos dispositivos ou os proprietários do sistema encontram rapidamente problemas e o vírus não pode formar nenhuma rede significativa.
Vale ressaltar que a família Satori é uma versão modificada da botnet
Mirai , cujo código fonte foi recentemente compartilhado. A Mirai assume o controle dos dispositivos de IoT e, em 2016, essa botnet começou a se desenvolver em um ritmo muito rápido, o que causou problemas bastante significativos.
Quanto ao Satori, o código deste software é modificado significativamente. O próprio worm não infecta dispositivos com senhas padrão. Em vez disso, o malware analisa o software do dispositivo em busca de vulnerabilidades. Se algum for encontrado, os dispositivos serão infectados. No início de dezembro, o Satori infectou mais de 100 mil dispositivos e, em um futuro próximo, a escala desse botnet pode crescer muitas vezes.
Pesquisadores do Netlab 360 afirmam que a nova versão do Satori, afiada por criptomoedas, apareceu em 8 de janeiro. Ele analisa os dispositivos em busca de duas vulnerabilidades diferentes da IoT, além de usar um buraco no software Claymore Mining, como mencionado acima.
Ainda não está claro exatamente como o novo vírus infecta computadores que mineram criptomoedas. Agora, pelo menos uma vulnerabilidade na
Claymore Mining é conhecida. Tanto quanto você pode entender, o worm funciona com uma porta 3333 com configurações padrão (sem autenticação).
O Netlab 360 não forneceu uma grande quantidade de dados para impedir que invasores mal-intencionados obtenham informações úteis. Os desenvolvedores da Claymore Mining ainda não responderam a reivindicações de segurança cibernética.
Mas um dos desenvolvedores do Satori adicionou uma mensagem com o seguinte conteúdo: “Não se preocupe com este bot, ele não executa nenhuma ação prejudicial. Você pode entrar em contato comigo em curtain@riseup.net. ” Uma declaração bastante estranha, já que o fato de o malware substituir as carteiras dos mineiros pelas carteiras de seus próprios desenvolvedores claramente não é uma ação inofensiva.
Quanto a Satori, isso está longe de ser o único "herdeiro" de Mirai. Em outubro do ano passado, os pesquisadores
anunciaram que um
novo problema havia surgido na Web - outro malware poderoso que ficou conhecido como Reaper e IoTroop. Ele também encontra vulnerabilidades no software e hardware de dispositivos "em nuvem" e os infecta, transformando-os em zumbis.