Especialistas de segurança informática da Nokia alertam para o perigo que vem da botnet recém-descoberta Eleven11bot. Estima-se que os cibercriminosos por trás desta rede controlem mais de 30 mil webcams e gravadores de vídeo, com especial incidência nos EUA, e que estejam a disparar grandes volumes de ataques de negação de serviço (DDoS). A equipa da Nokia conta que a rede foi detetada em finais de fevereiro e, desde então, tem estado por trás de ataques de grande escala de negação de serviço, que passam por consumir todos os recursos de rede disponíveis pela injeção de grandes volumes de dados.
De acordo com Jérôme Meyer, a maior parte dos endereços IP que participam nestes ataques não tinham sido usados em ataques DDoS (de Distributed Denial of Service, ou negação de serviço). A rede, além de controlar um número considerável de dispositivos (há outros peritos que apontam que são já mais de cem mil), destaca-se por estar a enviar volumes de dados recorde, com o pico de 27 de fevereiro a mostrar 6,5 terabits de dados por segundo (o anterior recorde visto era de 4,6 Tbps).
O especialista da Nokia conta ao ArsTechnica que a rede tem atacado organizações de vários setores de atividade, incluindo operadores de telecomunicações e infraestruturas dedicadas a suportar videojogos. A degradação dos serviços tem vindo a durar vários dias e, em alguns casos, ainda está a acontecer. Por regiões, os EUA concentram a maior fatia de endereços IP controlados (24,4%), seguindo-se Taiwan com 17,7% e o Reino Unido com 6,5%.
Uma análise da empresa de cibersegurança Greynoise revela que a Eleven11bot parece ser uma variante do código malicioso Mirai que foi detetado em 2016 e afetava webcams e outros dispositivos ligados à Internet das Coisas. Na altura, o Mirai bateu recordes com ataques DDoS de 1 Tbps e dezenas de milhares de aparelhos infetados. Pouco depois, o código do Mirai foi tornado público o que facilitou o aparecimento de várias cópias.
Os peritos não estão de acordo quanto à real dimensão da Eleven11bot, com a Greynoise a revelar que os dados da Censys apontam para que sejam menos de cinco mil dispositivos infetados. Meyer confirma que “estou confiante na minha contagem estimada que é o que vemos nos ataques e depois de uma revisão humana dos endereços IP”.
