Botnet

Uma nova campanha de botnet, classificada como Loader-as-a-Service, tem se mostrado altamente eficaz na exploração de roteadores SOHO e dispositivos IoT, aumentando em 230% entre julho e agosto de 2025. A pesquisa da CloudSEK revelou que atacantes estão utilizando logs de comando e controle expostos para automatizar a injeção de comandos e entrega de payloads, como o Mirai. Os atacantes exploram parâmetros POST não sanitizados em interfaces de gerenciamento web, testando credenciais padrão e realizando injeções de comandos. Uma vez que o acesso é obtido, os dispositivos são mapeados para coleta de informações, como endereços MAC e versões de firmware, permitindo a instalação de binários maliciosos para recrutamento em DDoS ou mineração de criptomoedas. A campanha também se aproveita de CVEs conhecidos em pilhas empresariais, como falhas no Oracle WebLogic e vulnerabilidades em plugins do WordPress. A recomendação é implementar filtragem de saída para bloquear tráfego malicioso e reforçar a segurança das interfaces web expostas. A segmentação de redes IoT e a aplicação de patches de firmware são essenciais para mitigar os riscos associados a essa ameaça emergente.

A Cloudflare, empresa de segurança e redes, conseguiu mitigar um ataque DDoS que atingiu o pico recorde de 22,2 terabits por segundo (Tbps) e 10,6 bilhões de pacotes por segundo (Bpps). O ataque, que durou apenas 40 segundos, é considerado o maior já registrado na história da internet. Este tipo de ataque visa sobrecarregar sistemas e recursos de rede, tornando serviços lentos ou indisponíveis. A Cloudflare já havia neutralizado um ataque anterior de 11,5 Tbps há três semanas, e um de 7,3 Tbps dois meses antes. O tráfego gerado pelo ataque recente foi comparado a transmitir um milhão de vídeos em 4K simultaneamente. A identidade da vítima não foi divulgada, mas a botnet AISURU, que infectou mais de 300.000 dispositivos, é apontada como responsável pelos ataques. Essa botnet tem como alvo dispositivos como câmeras IP e roteadores, aumentando sua atividade desde abril de 2025, após uma atualização comprometida de firmware de roteadores Totolink. O aumento de 358% nos ataques DDoS em 2025 destaca a crescente preocupação com a segurança cibernética.

Pesquisadores de cibersegurança revelaram detalhes sobre a nova botnet ShadowV2, que permite a locação de acesso para realizar ataques de negação de serviço distribuído (DDoS). Essa botnet, identificada pela empresa Darktrace, foca principalmente em containers Docker mal configurados em servidores da Amazon Web Services (AWS). O malware, escrito em Go, transforma sistemas infectados em nós de ataque, integrando-os a uma rede maior de DDoS. A campanha utiliza um framework de comando e controle (C2) baseado em Python, hospedado no GitHub Codespaces, e se destaca pela sofisticação de suas ferramentas de ataque, incluindo métodos avançados como HTTP/2 Rapid Reset e bypass do modo Under Attack da Cloudflare.

Um novo relatório da Black Lotus Labs, da Lumen Technologies, revela a existência de uma rede de proxies chamada REM Proxy, que é alimentada pelo malware SystemBC. Este malware transforma computadores infectados em proxies SOCKS5, permitindo que os hosts infectados se comuniquem com servidores de comando e controle (C2) e baixem cargas adicionais. A REM Proxy é uma rede significativa, oferecendo cerca de 20.000 roteadores Mikrotik e uma variedade de proxies abertos disponíveis online. O SystemBC, documentado pela primeira vez em 2019, tem como alvo tanto sistemas Windows quanto Linux, e sua variante para Linux é utilizada principalmente para atacar redes corporativas e dispositivos IoT. A botnet é composta por mais de 80 servidores C2 e cerca de 1.500 vítimas diárias, com 80% delas sendo sistemas de servidores privados virtuais (VPS) comprometidos. A maioria dos servidores afetados apresenta várias vulnerabilidades conhecidas, com uma média de 20 CVEs não corrigidas por vítima. O malware é utilizado por grupos criminosos para realizar atividades maliciosas, como a força bruta de credenciais de sites WordPress, com o objetivo de vender essas credenciais em fóruns underground. O relatório destaca a resiliência operacional do SystemBC, que se estabeleceu como uma ameaça persistente no cenário de cibersegurança.

Em 1º de setembro de 2025, a Qrator.AntiDDoS conseguiu neutralizar um dos maiores ataques de negação de serviço distribuído (DDoS) da camada 7 já registrados, que envolveu 5,76 milhões de endereços IP únicos. O alvo foi uma organização do setor público, e o ataque ocorreu em duas ondas distintas. A primeira onda, com 2,8 milhões de dispositivos comprometidos, lançou um ataque de inundação HTTP, enquanto uma segunda onda, com cerca de 3 milhões de dispositivos, se juntou uma hora depois para intensificar o ataque. A Qrator bloqueou todos os IPs maliciosos, garantindo a continuidade dos serviços. Desde sua primeira aparição em março de 2025, a botnet cresceu rapidamente, com um aumento de 25% em três meses, sendo o Brasil o maior contribuinte, seguido por países como Vietnã e Estados Unidos. A botnet utiliza técnicas avançadas para contornar medidas de mitigação, ajustando dinamicamente os cabeçalhos das requisições e alternando entre ataques de alta intensidade e tráfego sustentado para esgotar os recursos dos servidores. Especialistas alertam que a rápida evolução dessa botnet exige que as organizações adotem estratégias de defesa em múltiplas camadas para se proteger contra esses ataques.

A FastNetMon, uma das principais fornecedoras de soluções de detecção e mitigação de DDoS, anunciou que conseguiu identificar e mitigar um ataque de negação de serviço distribuído (DDoS) sem precedentes, gerando 1,5 bilhão de pacotes por segundo (Gpps) contra um grande fornecedor na Europa Ocidental. Este ataque, que começou nas primeiras horas de 8 de setembro de 2025, foi principalmente um ataque de inundação UDP, projetado para sobrecarregar a capacidade do alvo de processar pacotes, em vez de saturar a largura de banda. Os atacantes utilizaram uma botnet composta por mais de 11.000 dispositivos, incluindo roteadores domésticos e câmeras IP, que foram comprometidos devido a vulnerabilidades não corrigidas e credenciais padrão. Pavel Odintsov, fundador da FastNetMon, alertou sobre o crescente uso de dispositivos de consumo inseguros como ferramentas de ataque. O incidente destaca a necessidade de estratégias de mitigação especializadas, uma vez que ataques de alta taxa de pacotes podem explorar gargalos de processamento, exigindo detecções e respostas rápidas. A situação é um lembrete da crescente complexidade e sofisticação das ameaças cibernéticas atuais.

A TP-Link lançou atualizações de firmware para corrigir duas vulnerabilidades críticas em seus roteadores de pequeno escritório e home office (SOHO), especificamente nos modelos Archer C7 e TL-WR841N/ND. As falhas, identificadas como CVE-2025-50224 e CVE-2025-9377, foram exploradas por um grupo de ameaças cibernéticas chinês conhecido como Quad7, que utilizou um botnet para realizar ataques de password-spraying contra contas do Microsoft 365. A CVE-2025-50224 é uma vulnerabilidade de bypass de autenticação com severidade média (6.5/10), enquanto a CVE-2025-9377 é uma vulnerabilidade de execução remota de comando (RCE) com severidade alta (8.6/10). Apesar de os roteadores estarem em status de fim de vida (EoL), a gravidade das falhas levou a TP-Link a emitir atualizações. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) também emitiu avisos sobre essas vulnerabilidades, incluindo a CVE-2025-9377 em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), dando um prazo de três semanas para que agências aplicassem os patches ou substituíssem o hardware. A situação é alarmante, pois qualquer usuário de roteadores afetados está em risco, e muitos provedores de serviços de internet (ISPs) têm distribuído esses dispositivos.

Pesquisadores de segurança da eSentire identificaram uma nova botnet e infostealer chamada NightshadeC2, que utiliza uma técnica inovadora chamada ‘UAC Prompt Bombing’ para contornar as defesas do Windows Defender. Essa técnica força as vítimas a aprovar exclusões no Windows Defender através de prompts repetidos, permitindo que o malware opere sem ser detectado. O NightshadeC2 possui variantes em C e Python, com a versão em C oferecendo uma gama completa de funcionalidades, como execução de comandos, captura de tela, keylogging e roubo de credenciais. A distribuição do malware ocorre por meio de ataques ClickFix, onde os usuários são levados a executar comandos maliciosos após interagir com CAPTCHAs falsificados. A técnica de ‘UAC Prompt Bombing’ não só permite que o malware evite a detecção pelo Windows Defender, mas também dificulta a análise em ambientes de sandbox, tornando-se um desafio significativo para a segurança cibernética. Em resposta, a eSentire implementou conteúdos de detecção e recomendações para mitigar os riscos associados, como desativar o prompt de execução do Windows e realizar treinamentos de conscientização sobre phishing. O caso do NightshadeC2 destaca a rápida evolução das táticas de ataque e a necessidade de estratégias de defesa adaptativas.

No dia 3 de setembro de 2025, a Cloudflare anunciou que conseguiu mitigar um ataque DDoS volumétrico recorde, que atingiu picos de 11,5 terabits por segundo (Tbps). O ataque, que durou apenas 35 segundos, foi classificado como um ‘flood’ UDP e teve origem principalmente na Google Cloud. A empresa destacou que, nas semanas anteriores, bloqueou centenas de ataques DDoS de alta volumetria, com o maior deles alcançando 5,1 Bpps. Os ataques volumétricos têm como objetivo sobrecarregar um servidor com um grande volume de tráfego, resultando em lentidão ou falhas no serviço. Além disso, esses ataques podem servir como uma cortina de fumaça para ataques mais sofisticados, permitindo que os invasores explorem vulnerabilidades e acessem dados sensíveis. A Cloudflare já havia reportado um ataque DDoS de 7,3 Tbps em maio de 2025, e a quantidade de ataques DDoS hiper-volumétricos aumentou significativamente no segundo trimestre de 2025. O artigo também menciona a operação de desmantelamento de uma botnet chamada RapperBot, que visava dispositivos IoT, como gravadores de vídeo em rede (NVRs), para realizar ataques DDoS. Essa situação ressalta a necessidade de vigilância constante e atualização das defesas de segurança em um cenário de ameaças em evolução.

Pesquisadores em cibersegurança alertam sobre campanhas que exploram vulnerabilidades conhecidas, expondo servidores Redis a atividades maliciosas, como botnets IoT e mineração de criptomoedas. A exploração da vulnerabilidade CVE-2024-36401, com uma pontuação CVSS de 9.8, permite que criminosos implantem kits de desenvolvimento de software (SDKs) legítimos ou aplicativos modificados para gerar renda passiva através do compartilhamento de rede. Os atacantes têm acessado instâncias do GeoServer expostas na internet desde março de 2025, utilizando um servidor de compartilhamento de arquivos privado para distribuir executáveis personalizados. Esses aplicativos consomem poucos recursos e monetizam a largura de banda dos usuários sem a necessidade de malware tradicional.

Ethan Foltz, um jovem de 22 anos do Oregon, foi acusado de desenvolver e gerenciar uma botnet de DDoS chamada RapperBot, que tem sido utilizada para realizar ataques em larga escala em mais de 80 países desde 2021. O Departamento de Justiça dos EUA informou que Foltz enfrenta uma acusação de auxílio e cumplicidade em intrusões de computador, podendo pegar até 10 anos de prisão se condenado. A botnet RapperBot, também conhecida como ‘Eleven Eleven Botnet’ e ‘CowBot’, compromete dispositivos como gravadores de vídeo digitais e roteadores Wi-Fi, utilizando malware especializado. Os clientes da RapperBot podem emitir comandos para esses dispositivos infectados, forçando-os a enviar grandes volumes de tráfego DDoS para servidores e computadores ao redor do mundo. A botnet é inspirada em outras como fBot e Mirai, e foi documentada pela primeira vez em 2022. A investigação revelou que Foltz e seus cúmplices monetizaram a botnet, realizando mais de 370.000 ataques a 18.000 vítimas únicas, incluindo alvos na China, Japão, EUA, Irlanda e Hong Kong. A operação para desmantelar a RapperBot faz parte da iniciativa internacional Operation PowerOFF.