Microsoft alerta para botnet com mais de 8 mil dispositivos usados para sequestro de contas do Azure

Hackers estão utilizando milhares de roteadores TP-Link, câmeras e outros dispositivos conectados à internet para realizar ataques de “password spraying” — técnica que testa várias senhas comuns em diversas contas, evitando detecção — contra usuários da nuvem Azure, da Microsoft.

A rede maliciosa, denominada Botnet-7777, é composta majoritariamente de roteadores TP-Link, com um pico de atividade que chegou a 16 mil dispositivos. Esse nome foi dado devido à exposição do malware na porta 7777. Cada dispositivo limita as tentativas de login, o que torna a campanha coordenada difícil de detectar pela plataforma de destino. Segundo a Microsoft, os ataques são “altamente evasivos” porque a botnet — agora com cerca de 8 mil dispositivos ativos, em média — adota técnicas para esconder suas atividades.

Uma vez que as contas Azure são comprometidas, os agentes de ameaça tentam se movimentar lateralmente pela rede infectada, além de exfiltrar dados e instalar trojans de acesso remoto.

Não está claro como os dispositivos foram inicialmente infectados. Especialistas apontam que a maioria dos dispositivos infectados perde o malware após uma reinicialização, pois o código não é gravado no armazenamento permanente. Assim, reiniciar periodicamente pode eliminar a infecção, embora não previna futuras reinfecções.