Seu roteador, sua câmera e até sua geladeira estão na mira da nova botnet RondoDox

No universo conectado em que vivemos, gostamos de pensar que nossos dispositivos formam um ecossistema harmonioso, conversando entre si para facilitar nossas vidas. Mas o que acontece quando um ator mal-intencionado invade essa conversa? A resposta parece ter nome e sobrenome: RondoDox. Uma nova campanha massiva deste botnet está usando uma abordagem de força bruta, mirando não uma, mas 56 vulnerabilidades diferentes em um vasto leque de equipamentos. O objetivo é simples e direto: transformar o maior número possível de dispositivos em um exército zumbi para futuros ataques.

Pesquisadores da Zero Day Initiative (ZDI) da Trend Micro, que estão acompanhando de perto a atividade, descrevem a tática como uma “espingarda de exploits”. Em vez de um tiro de precisão, os atacantes disparam para todos os lados, esperando acertar qualquer alvo vulnerável. E, a julgar pela lista de equipamentos, o estrago pode ser grande. Estamos falando de roteadores de marcas populares como Cisco, D-Link, Linksys e Netgear, servidores Apache HTTP, câmeras de IP da Brickcom e sistemas de CFTV da AVTECH, entre produtos de pelo menos 30 fabricantes diferentes.

Uma Espingarda Digital Mirada no seu Wi-Fi

A beleza de um ecossistema digital é a interoperabilidade. A falha é que uma porta aberta pode comprometer toda a rede. A campanha do RondoDox, que teve seu pico de atividade entre 22 e 24 de setembro, segundo a ZDI, foi descrita como uma possível operação “smash-and-grab” — um ataque rápido e massivo para sequestrar o máximo de dispositivos no menor tempo possível. Peter Girnus, pesquisador sênior de ameaças da ZDI, afirmou ao The Register que “qualquer produto de consumo com acesso à internet foi provavelmente alvo deste ataque”.

Após a exploração bem-sucedida de uma das 56 falhas, o script da RondoDox instala cargas úteis projetadas para várias arquiteturas de sistema Linux, infectando o aparelho com uma variante do notório malware Mirai. Uma vez infectado, o dispositivo passa a ser controlado remotamente pelos criminosos, pronto para ser usado em ataques de negação de serviço distribuído (DDoS) ou outras atividades maliciosas. É a diplomacia digital dando lugar a uma tomada hostil de recursos.

Do Pwn2Own para o Mundo Real: A Origem dos Ataques

Um detalhe interessante, apontado pela Trend Micro, é a velocidade com que vulnerabilidades apresentadas em eventos de segurança são transformadas em armas digitais. A RondoDox está explorando a falha CVE-2023-1389, que afeta o roteador Wi-Fi TP-Link Archer AX21, demonstrada originalmente na competição de hacking Pwn2Own Toronto 2022. Isso mostra que os desenvolvedores de botnets estão de olho nos palcos onde os “white hats” expõem falhas, prontos para adicioná-las ao seu arsenal.

A lista de vulnerabilidades exploradas é extensa e inclui falhas mais recentes e outras mais antigas, muitas vezes em aparelhos que já chegaram ao fim de sua vida útil (End of Life - EoL) e não recebem mais atualizações. Entre as brechas notáveis estão:

  • CVE-2024-3721: Uma vulnerabilidade crítica em dispositivos DVR da TBK.
  • CVE-2024-12856: Uma falha de injeção de comando em roteadores industriais da Four-Faith.
  • CVE-2023-1389: A já mencionada falha em roteadores TP-Link.

Além dessas, a FortiGuard Labs já havia associado as duas primeiras vulnerabilidades ao RondoDox anteriormente. Para completar o cenário, a Trend Micro identificou que o botnet também explora 18 falhas de injeção de comando que sequer possuem um código de identificação CVE, afetando equipamentos da D-Link, LILIN, Fiberhome e outros.

O Ecossistema Mirai e o Modelo 'Loader-as-a-Service'

A RondoDox não atua sozinha. Ela faz parte de uma infraestrutura maior e mais sofisticada. Relatórios recentes indicam que o botnet ampliou sua distribuição através de um modelo de “loader-as-a-service”. Isso significa que sua capacidade de infecção é vendida ou empacotada com outras ameaças, como o próprio Mirai e uma variante chamada Morte. É a terceirização do crime digital, criando um ecossistema de ataque interconectado e mais resiliente.

A empresa de inteligência de ameaças CloudSEK alertou que, graças a esse modelo, os ataques que distribuem RondoDox, Mirai e Morte tiveram um aumento impressionante de 230% entre julho e agosto. A ameaça, portanto, não apenas existe, mas está em franca expansão.

Nenhuma Tecnologia é uma Ilha: Como se Proteger?

Se todos os nossos dispositivos estão constantemente conversando entre si, como garantimos que essa conversa não seja interceptada e manipulada por um intruso? A resposta não está em desconectar tudo, mas em fortalecer as fronteiras. Os especialistas recomendam um conjunto de boas práticas que, embora básicas, são a principal linha de defesa:

  • Atualize Sempre: Aplique as últimas atualizações de firmware disponíveis para todos os seus dispositivos, de roteadores a câmeras de segurança.
  • Senhas Fortes: Abandone as credenciais padrão. Use senhas longas, complexas e únicas para cada equipamento.
  • Aposente os Antigos: Se um dispositivo chegou ao fim de sua vida útil (EoL) e não recebe mais atualizações do fabricante, é hora de substituí-lo. Ele é uma porta aberta para ataques.
  • Segmente sua Rede: Isolar dispositivos IoT (Internet das Coisas) em uma rede separada daquela onde estão seus dados críticos pode limitar o dano em caso de uma invasão.

A campanha da RondoDox é um lembrete contundente de que, no mundo digital, nenhuma tecnologia é uma ilha. A segurança de um dispositivo depende da segurança de todos os outros com os quais ele se conecta. Proteger esse ecossistema é uma responsabilidade compartilhada entre fabricantes e, principalmente, usuários.