Este caso foi reportado pelo blog da Lumen e nos traz bastidores de uma invasão sem precedentes

A Black Lotus Labs, da Lumen Technologies, identificou um ataque destrutivo que inutilizou mais de 600.000 roteadores de pequenos escritórios/escritórios domésticos (SOHO) pertencentes a um único provedor de serviços de internet (ISP). O ataque ocorreu entre 25 e 27 de outubro, tornando os dispositivos permanentemente inoperáveis e exigindo a substituição do hardware. Durante este período, 49% dos modems do ISP foram removidos de seu sistema autônomo (ASN).

O trojan “Chalubo” foi identificado como o principal responsável pelo ataque. Este malware, ativo desde 2018, opera na memória, oculta suas atividades e criptografa comunicações com o servidor de comando e controle. Em outubro de 2023, a Lumen detectou mais de 330.000 IPs infectados comunicando-se com 75 nós C2, indicando a alta atividade do Chalubo.

Embora o Chalubo tenha sido usado neste ataque destrutivo, ele não foi criado especificamente para isso. Suspeita-se que os atacantes usaram este malware comum para evitar rastreamento. O ataque afetou principalmente áreas rurais e carentes, impactando serviços essenciais como saúde e agricultura.

O relatório da Lumen detalha as observações sobre o ataque, o processo de infecção, as funcionalidades do malware e seu impacto global.

Este incidente ressalta a importância de os usuários escolherem roteadores de marcas comprometidas com a atualização constante de suas CPEs (Customer Premises Equipment). Manter o firmware atualizado é crucial para proteger a rede contra vulnerabilidades exploradas por malwares como o Chalubo. Além disso, é fundamental adotar práticas de segurança, como alterar senhas padrão, desativar serviços não utilizados e segmentar a rede para minimizar os riscos de ataques. Estas medidas são válidas tanto para redes domésticas quanto empresariais.