Worm War: A Batalha da Botnet

pelo Território da IoT

Stephen Hilt, Fernando Mercês, Mayra Rosario e David Sancho
 Conteúdo
AVISO LEGAL TREND MICRO

As informações fornecidas aqui são apenas para

esclarecimentos gerais e para fins educacionais. Não se
destinam e não devem ser interpretadas para constituir
aconselhamento jurídico. As informações aqui contidas
podem não ser aplicáveis a todas as situações e podem
não refletir a situação da atualidade.

Nada do que estiver contido aqui deve ser invocado ou

4
adotado sem o benefício de aconselhamento jurídico com
base nos fatos e circunstâncias particulares apresentados,
Introdução
bem como não deve ser interpretado de outra forma. A
Trend Micro se reserva ao direito de modificar o conteúdo
deste documento a qualquer momento, sem aviso prévio.
5
A tradução de qualquer material para outros idiomas é O Que os Números Mostram
apenas uma conveniência. A precisão da tradução não é
garantida nem implícita. Se surgirem dúvidas relacionadas
à precisão de uma tradução, por gentileza, consulte a 8
versão oficial do documento no idioma original. Quaisquer
discrepâncias ou diferenças criadas na tradução não são Mirai: O Avô
vinculativas e não têm efeito legal para fins de compliance
ou aplicação.

Embora a Trend Micro use esforços razoáveis para incluir

11
aqui informações precisas e atualizadas, não oferece
Kaiten: Um Tsunami de Ataques
garantias ou representações de qualquer tipo quanto à
sua precisão, moeda ou integridade. Você concorda que
o acesso, o uso e a confiança neste documento e no seu
conteúdo é por sua conta e risco. A Trend Micro se isenta
13
de todas as garantias de qualquer tipo, expressas ou
implícitas. Nem a Trend Micro nem qualquer parte envolvida Qbot: O Terceiro Irmão
na criação, produção ou entrega deste documento será

16
responsável por qualquer consequência, perda ou dano,
incluindo direta, indireta, especial, consequente, perda
de lucros comerciais ou danos especiais, qualquer que
seja a origem do acesso, uso ou incapacidade de uso ou Malware Botnet da IoT no
em conexão com o uso deste documento, ou quaisquer
erros ou omissões no conteúdo do mesmo. O uso dessas
Submundo do Cibercrime
informações constitui aceitação para utilização em uma

20
condição “no estado em que se encontra”.

Estudo de Caso: JenX

25
Publicado por
Trend Micro Research

Escrito por
Stephen Hilt, Fernando Mercês, Conclusão
Mayra Rosario e David Sancho

Imagem usada sob licença da Shutterstock.com

Para Raimund Genes (1963 – 2017)

Uma guerra está sendo travada no submundo do cibercrime e entre dispositivos on-line,
uma guerra na qual os dispositivos mais afetados são roteadores. Mesmo ficando em
silêncio em muitos lares ao redor do mundo, os roteadores são o campo de batalha de uma
parte dos cibercriminosos nos dias de hoje. Esses agentes inserem roteadores infectados
nas chamadas botnets, especificamente botnets da Internet das Coisas (IoT). A botnet
mais poderosa tem o maior número de roteadores, alimentando a batalha por recursos
entre grupos de criminosos cibernéticos.

Neste trabalho de pesquisa, examinamos a natureza dessa chamada “worm war” e os

grupos que a estão travando. Primeiro, analisamos as três principais bases de código-
fonte que geraram inúmeras partes de malware de botnet: Mirai, Kaiten e Qbot. Essas
bases de código-fonte de bot, que estão prontamente disponíveis na Internet, permitem
que agentes mal-intencionados roubem o controle dos dispositivos afetados, mesmo de
grupos criminosos concorrentes. Em seguida, exploramos a acessibilidade das redes de
bots de IoT, conforme ilustrado por seu mercado no submundo cibercriminoso. Por fim,
apresentamos um estudo de caso para demonstrar uma das muitas maneiras pelas quais
as redes de bots são usadas por esses grupos.

Com este trabalho de pesquisa, esperamos ajudar a informar os usuários que foram
pegos no fogo cruzado desta guerra. Temos como objetivo também, auxiliar os usuários
no aprendizado de proteção de seus roteadores e outros dispositivos conectados —
especialmente em um momento em que esses dispositivos são ainda mais essenciais para
manter a conectividade em residências, seja para o trabalho ou qualquer outra coisa.
Introdução
Certamente, é perdoável pensar que devem existir outros dispositivos críticos mais atrativos para os
cibercriminosos lucrarem que não os roteadores. A realidade, no entanto, é que a capacidade de assumir
o controle de roteadores domésticos já é vantajosa para muitos agentes maliciosos, pois existem várias
maneiras de monetizar roteadores infectados.

Os criminosos costumam usar roteadores infectados para lançar ataques do tipo denial-of-service (DDoS)
a terceiros. Essa é uma forma testada e comprovada de extorsão on-line — tornando inacessível uma
máquina na Internet e recusando-se a parar até que um montante seja pago. Isso é ainda mais relevante
hoje em dia, em um momento em que muitas empresas dependem de sua receita de comércio eletrônico
para sobreviver.

Os cibercriminosos também usam roteadores infectados para permitir que outras pessoas acessem a
Internet através deles. Ao fazer isso, eles são capazes de usar esses canais para encobrir seus rastros
e essencialmente enquadrar vítimas inocentes: qualquer irregularidade cometida por cibercriminosos ao
usar um roteador infectado irá comprometer o endereço IP do proprietário do dispositivo. Com número
suficiente de roteadores infectados, os cibercriminosos podem formar botnets poderosas para vender
como serviços individuais. “Podemos fazer DDoS com qualquer pessoa na Internet e exibir seu website”,
ou “Podemos permitir que você acesse a Internet anonimamente por meio de um endereço IP aleatório”,
prometem seus anúncios em alguns fóruns do submundo do cibercrime.

Em resumo, roteadores infectados significam dinheiro.Quanto mais roteadores os bandidos dominarem,

mais poder acumulará sua botnet e, finalmente, mais lucrativa ela se tornará. Sendo assim, os agentes
mal-intencionados competem para assumir o maior número possível de roteadores. A partir do momento
em que um grupo de cibercriminosos infecta um roteador, eles geralmente desinstalam infecções de
malware preexistentes. Porém, eles não fazem isso para assumir o papel de bandidos heroicos como
fazia o Robin Hood, em que um crime é cometido para impedir um mal maior. É apenas um caso de
ladrão contra ladrão, em que ambas as partes competem por possíveis vítimas. Para deixar claro, não
há razão técnica para que um dispositivo não possa ser infectado por diferentes partes de malware de
botnet. Só que os proprietários de botnet simplesmente não desejam compartilhar a banda larga de um
roteador infectado com outros proprietários desse tipo de rede.

Há outro efeito colateral desagradável para os usuários finais depois que seus roteadores são infectados.
Sempre que um endereço IP é sinalizado como parte de uma botnet de IoT ativa, geralmente é exibido
em listas de restrição para diferentes soluções de segurança. Se estivessem na lista, as máquinas das
vítimas não apenas estariam realizando ou facilitando o crime, como também não conseguiriam acessar
adequadamente partes da Internet — ou o ambiente das empresas próprias das vítimas. No mundo de
hoje, onde inúmeras pessoas trabalham em casa, a segurança dos roteadores domésticos é ainda mais
crítica.

4 | Worm War: A Batalha da Botnet pelo Território da IoT

O Que os Números Mostram
Existem milhões de roteadores em todo o mundo, com mais sendo adicionados a cada momento e
tantos outros ficando off-line. A natureza difundida e díspar dos roteadores torna impossível uma única
visão holística de todos os roteadores que estão globalmente infectados. No entanto, soluções como
o software Trend Micro ™ Home Network Security rastreiam vários pontos de dados que indicam o
crescimento geral das redes de bots ao longo do tempo. Duas que achamos que estão entre as mais
diretamente relevantes são as tentativas de login de força bruta e as tentativas de login Telnet.

Em uma tentativa de login de força bruta, um agente mal-intencionado visa conseguir acesso a um
dispositivo adivinhando a senha necessária. Isso é feito sistematicamente usando um programa que
tenta todas as senhas possíveis até que uma finalmente funcione. Com dispositivos IoT, como roteadores,
geralmente é um processo bastante rápido, pois muitos roteadores usam senhas padrão conhecidas
publicamente. Específico às botnets, os logins de força bruta podem fazer parte de uma botnet que
está tentando efetuar logar em roteadores adicionais, a fim de ampliar sua presença e eficácia. Como
mencionado anteriormente, quanto mais roteadores uma botnet acumular, mais poderosa ela se tornará
e mais dinheiro o seu dono ganhará.

De acordo com a telemetria da Trend Micro, conforme visualizado na Figura 1, as tentativas de login de
força bruta nos roteadores cresceram constantemente em 2019. No início, o crescimento foi incremental
até chegar o mês de outubro. A partir de então, os números aumentaram drasticamente e se elevaram
a um estado completamente diferente. Não podemos dizer com certeza quantas dessas tentativas de
login vieram de roteadores, mas eles são a fonte e a explicação mais provável para esse aumento nas
tentativas. A guerra pelo controle de botnets mudou, tornando-se mais poderosa e abusando de mais
roteadores do que nunca.

5 | Worm War: A Batalha da Botnet pelo Território da IoT

Jan 2019 9,163,172
Feb 10,102,834
Mar 9,612,645
Apr 9,706,937
May 11,483,719
Jun 13,058,656
Jul 14,280,646
Aug 18,981,127
Sep 23,261,180
Oct 97,896,364
Nov 218,546,247
Dec 248,783,511
Jan 2020 223,154,993
Feb 140,104,995
Mar 193,713,764

Figura 1. Tentativas de login de força bruta de janeiro de 2019 a março de 2020

A atividade de Telnet relacionada a worms de IoT ou malwares de botnet mostra uma imagem semelhante.
O Telnet é outro meio usado por agentes mal-intencionados para estender o alcance de suas botnets
da IoT. Os pontos de dados Telnet podem fornecer informações adicionais sobre a magnitude desse
fenômeno recente. Embora não tenhamos dados específicos para roteadores infectados, as tentativas de
login no Telnet podem servir como uma estatística de proxy. Embora o Telnet não seja tão amplamente
usado hoje como no passado, os dispositivos de IoT ainda dependem amplamente dele para seus recursos
de acesso remoto. A comunicação Telnet não é criptografada, facilitando a detecção de credenciais de
usuários ou agentes mal-intencionados. As botnets podem, portanto, usar esse protocolo aberto para se
espalhar ainda mais, infectando uma quantidade maior de roteadores.

Tentar abrir sessões Telnet com outros dispositivos não é um comportamento normal para um roteador
e é um sinal de tentativa de infecção. Portanto, podemos usar essa métrica como um indicador próximo
do “número de roteadores infectados”. Na Figura 2, que é baseada na telemetria da Trend Micro de julho
de 2019 a abril de 2020, as barras representam tentativas de conexão Telnet e a linha representa as
fontes dessas tentativas, que consideramos o número de dispositivos infectados. No auge dessa última
métrica, quase 16.000 dispositivos tentavam abrir sessões Telnet com outros dispositivos de IoT em uma
única semana. Isso pode indicar que a atividade anterior destinada a aumentar o tamanho de uma botnet
foi bem-sucedida, permitindo que as botnets ativas tenham um número maior de dispositivos sob seu
controle do que era possível anteriormente.

6 | Worm War: A Batalha da Botnet pelo Território da IoT

800,000 20,000

685,901
15,878

600,000

400,000 10,000

200,000

0 WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK WK
0
27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
2019 2020

Eventos Dispositivos

Figura 2. Atividade de Telnet proveniente de dispositivos IoT de julho de 2019 a abril de 2020 e o número
de dispositivos iniciando essas conexões suspeitas

A partir dos dois indicadores de dados, vemos que a atividade de botnets de IoT está aumentando. Agora,
vamos dar uma olhada nas famílias de malware de botnets mais populares e analisaremos se elas têm
formas em comum de “limpar” uma infecção existente logo após um roteador ser infectado. Como parte
de nossa pesquisa em andamento sobre botnets de IoT, observamos que existem três principais bases
de códigos de fontes de bots mais frequentemente usadas por grupos de cibercriminosos profissionais
e os chamados script kiddies: Mirai, Kaiten e Qbot. Os códigos para esses três estão disponíveis
gratuitamente, ou seja, qualquer golpista devidamente empenhado pode fazer o download, modificar
e recompilar facilmente para começar a infectar roteadores e criar sua própria botnet de IoT. Conforme
discutiremos nas próximas seções, essas três formam a base e são as principais armas cibernéticas
nesta atual guerra de roteadores.

7 | Worm War: A Batalha da Botnet pelo Território da IoT

Mirai: O Avô
Entre os três, o Mirai é o código mais comum que vemos — e por boas razões. O Mirai, que faz parte
de uma família de malware de botnet lançada no final de 2016, mudou o cenário das ameaças à IoT. Um
especialista em ciência da computação de Nova Jersey criou o malware, com alguma ajuda de outros,
para ver como os ataques DDoS poderiam ser monetizados.1, 2, 3 Isso levou a um dos ataques DDoS mais
incapacitantes da história atual. O malware original da Mirai botnet foi responsável pelo ataque DDoS,
em 20 de setembro de 2016, que causou uma interrupção de quatro dias no website Krebs on Security.
Atingindo 620 gigabits por segundo (Gbps), esse ataque foi tão prejudicial que o fornecedor de rede de
entrega de conteúdo do site, Akamai, não conseguiu acompanhá-lo e teve que parar de atender o site
de destino.4,5

O Mirai foi construído com o objetivo de ser uma ferramenta DDoS à venda para ajudar os jogadores
de “DDoSing” e monetizar suas brigas entre si.6 O primeiro ataque, observado em 19 de setembro
de 2016, foi contra o provedor de serviços de Internet (ISP) francês OVH, que, como se viu, estava
hospedando muitos jogos online (principalmente o Minecraft).7 Logo após esse ataque, o código-fonte
do Mirai foi publicado online. O maior ataque DDoS dele ocorreu quase um mês após o ataque inicial,
em 12 de outubro de 2016, quando o malware foi usado contra o Dyn, um provedor de hospedagem de
Domain Name System (DNS). Esse ataque derrubou muitos serviços que pessoas de todo o mundo usam
diariamente, incluindo Netflix, Reddit e Twitter.8

Uma vez que o autor forneceu o código-fonte da botnet, o cenário de malware da IoT foi alterado para
sempre. A capacidade de adicionar novas credenciais codificadas e outras explorações à base de código
permitiu que invasores iniciantes criassem novas variantes Mirai que fossem mais eficazes e agressivas.
Para muitos, o código do Mirai, de certa forma, se tornou sua “porta de entrada” na comunidade dos
cibercriminosos.

Atualmente, a Trend Micro rastreia muitas variantes do Mirai. Algumas delas surgiram logo após o código
ter sido aberto, enquanto outras são variantes mais recentes, com algumas surgindo no ano passado.
A principal razão pela qual há uma gama estreita de famílias de malware de IoT botnet é porque os
invasores tendem a se voltar mais a algumas – poucas – estruturas existentes muito eficazes, tais como
o Mirai.

8 | Worm War: A Batalha da Botnet pelo Território da IoT

Dada a enorme diversidade entre todas as variantes, é difícil generalizar os recursos do Mirai. O que
podemos ter certeza é que algumas dessas variantes têm a capacidade de limpar infecções anteriores para
“possuir” completamente um roteador infectado. Esse é um recurso que pode dividir os cibercriminosos
que desenvolvem e usam o código Mirai.

Figura 3. Uma postagem no fórum de cibercriminosos que discute o recurso do Mirai que protege as
portas 22, 23 e 80 de um roteador infectado para protegê-lo de fato contra outras infecções.

De fato, o código-fonte original do Mirai tem a capacidade de eliminar outros processos. O screenshot
do código-fonte do Mirai, mostrado na Figura 4, por exemplo, mostra a configuração padrão para acabar
com processos que correspondem à string “.anime”, vinculado ao malware Anime IoT. 9

Figura 4. Configurações do código-fonte do Mirai que eliminam o malware Anime.

O trecho do código que efetivamente elimina os processos de correspondência é mostrado na Figura

5. No fragmento de código, o Mirai usa a função do sistema Linux kill () para enviar efetivamente o sinal
SIG_KILL (9) aos processos desejados.

9 | Worm War: A Batalha da Botnet pelo Território da IoT

 Figura 5. Parte do código-fonte do Mirai que encerra os processos de malware concorrente

Esse recurso do mais popular malware de botnet de IoT mostra como o Mirai também está sendo usado
como arma na guerra de território entre cibercriminosos, a fim de deslocar outras peças de malware de
botnet de um roteador infectado e, assim, coletar o maior número possível de bots em uma única rede.
Esse campo também é altamente configurável; portanto, variantes do Mirai podem modificá-lo para
remover outras variantes, geralmente pertencentes a grupos cibercriminosos rivais.

10 | Worm War: A Batalha da Botnet pelo Território da IoT

Kaiten: Um Tsunami de Ataques
O Kaiten não é muito conhecido do público, mas ainda assim é uma família popular de malware de
botnets entre cibercriminosos e script kiddies. O Kaiten, que é de código aberto desde 200110, foi uma
das primeiras famílias de malware de botnet de IoT, com variantes que ainda hoje são populares. Sua
comunicação com seus servidores de comando e controle (C&C) é baseada no popular protocolo IRC
(Internet Relay Chat), permitindo que dispositivos infectados recebam comandos de um canal de IRC
codificado nos binários do Kaiten. Eles podem ser compilados para uma variedade de plataformas de
hardware, como SH4, PowerPC, MIPSel, MIPS e ARM.

Figura 6. Um exemplo de desmontagem do Kaiten, onde o canal de IRC é “#BigBoatz”

O Kaiten, também conhecido como Tsunami, recebeu o nome de um cavalo de Troia com o mesmo
nome11, cujo código parece estar baseado no malware de botnet. Na verdade, o Kaiten compartilha os
recursos de IRC e DDoS do Trojan Kaiten original, embora o malware de botnet use o mesmo script de
infecção que um malware anterior, menos conhecido, chamado HeavyAidra12 . Esse script Python tem a
capacidade de infectar dispositivos, forçando os serviços Telnet. Ele também permite que um agente mal-
intencionado, como indicado na Figura 8, escolha a arquitetura de hardware que está sendo direcionada
(linhas 21 a 26) e defina o servidor de download (linha 30).

Figura 7. Uma lista de senhas codificadas no script de infecção Kaiten

11 | Worm War: A Batalha da Botnet pelo Território da IoT

 Figura 8. Um fragmento do script de infecção Kaiten mostrando payloads para diferentes arquiteturas
de hardware.

O código-fonte original do Kaiten, como mencionado anteriormente, também foi lançado de uma forma
primitiva, levando os cibercriminosos a modificá-lo e adicionar funcionalidades novas e aprimoradas13. As
variantes de Kaiten incluem Amnesia (2017),14 Muhstik (2018),15 e o sofisticado Capsaicin (2017)16.

As variantes recentes do Kaiten também implementaram o recurso “eliminação de bots” que efetivamente
limpa qualquer infecção anterior de um roteador afetado pelo Kaiten. Alguns cibercriminosos se gabam
desse recurso nos fóruns underground, como mostra a figura 9.

Figura 9. Uma postagem em um fórum clandestino de criminosos cibernéticos que mostra um vendedor
se vangloriando de alguns dos recursos adicionados ao Kaiten, incluindo um “bom botkiller”.

Evidentemente, assim como o Mirai, o Kaiten permite que os cibercriminosos aumentem suas redes de
bots e travem competições uns contra os outros pelo controle dos dispositivos.

12 | Worm War: A Batalha da Botnet pelo Território da IoT

Qbot: O Terceiro Irmão
Apesar de ser mais antigo que Mirai, o Qbot ainda é comumente usado por cibercriminosos, estando ativo
desde 200817. Também conhecido como Bashlite, Gafgyt, Lizkebab ou Torlus18, esse malware de botnet
existe há algum tempo19, porém, mais do que nos outros dois, o tempo não afetou sua popularidade.

A principal característica do Qbot é que seu código-fonte é composto apenas por alguns arquivos. Uma
vez que a configuração principal necessita ser feita diretamente do código-fonte, o Qbot pode ser difícil
para os iniciantes. Sua dificuldade resultou em muitos tópicos em fóruns cibercriminosos que ensinam
os novatos a configurar esse malware de botnet. Muitos desses bandidos também estão vendendo
de forma ilegal sua “ajuda” na configuração correta de botnets do Qbot. Ele também suporta várias
arquiteturas de hardware, como mostra a Figura 10. No entanto, ao contrário do Kaiten, o Qbot usa
servidores C&C baseados em TCP (Transmission Control Protocol) e não depende de protocolos de alta
camada, como o IRC.

Figura 10. Um trecho de script de instalação do Qbot mostrando arquiteturas suportadas

Após infectar um dispositivo, o Qbot tenta entrar em contato com cada um de seus servidores C&C
codificados até que um deles responda. Ele aguarda comandos antes de iniciar diferentes tipos de
ataques DDoS comuns, como fluxos HTTP e UDP (User Datagram Protocol).

As variantes mais recentes do Qbot adicionaram a capacidade de desinstalar outros tipos de malware de
botnet. Como resultado, se uma variante do Qbot atacar com êxito um dispositivo já infectado, ela poderá
eliminar seus concorrentes. A Figura 11 mostra um trecho de código que aponta para esse recurso.

13 | Worm War: A Batalha da Botnet pelo Território da IoT

Figura 11. Um trecho de código Qbot mostrando cadeias de identificação para malware de botnet rival.

Esse recurso de eliminação de processos no Qbot também significa que está sendo realizada uma guerra
entre os criadores de botnets da IoT, uma vez que todos competem pelo controle de dispositivos valiosos.
Um exemplo recente dessa guerra é o surgimento do poderoso malware de botnet Momentum IoT, o qual
descrevemos em um artigo publicado em dezembro de 201920 . Como mostra a Figura 12, as amostras
do Momentum têm uma longa lista de nomes de processos relacionados a outras partes de malware.
Estas são as partes concorrentes de malware de botnet das quais eles estão tentando se livrar. A lista
completa contém impressionantes 438 nomes de processos, incluindo aqueles que representam famílias
conhecidas de malware de botnet, como o Mirai.

Figura 12. Um fragmento de código de malware Momentum botnet com uma lista de nomes de processos
a serem eliminados.

14 | Worm War: A Batalha da Botnet pelo Território da IoT

 Figura 13. Uma rotina de extermínio de amostras Momentum compiladas no PowerPC

No Qbot, novamente vemos a mesma estratégia que observamos em seus dois concorrentes importantes,
Mirai e Kaiten: tentando “possuir” um dispositivo infectado e retirá-lo de seu “proprietário” anterior. Essas
três famílias de malware de botnet fazem parte de uma competição para infectar a maioria dos roteadores,
onde o compartilhamento de um dispositivo não é uma opção. A Figura 14 resume as características das
três famílias de malware de botnet que estão sob discussão.

Mirai Kaiten Qbot

Built with the purpose of being
a DDoS tool for sale
Open-source code enables
novice attackers to make new,
more aggressive variants
Original source code contains
the capability to kill competing
processes
Also known as Tsunami
C&C servers are based on the
popular IRC protocol
Supports multiple hardware
architectures
Recent variants implement a
bot-killing feature
Also known as Bashlite, Gafgyt,
Lizkebab, or Torlus
Supports multiple hardware
architectures
Uses TCP-based C&C servers
and does not rely on high-layer
protocols such as IRC
Recent variants can uninstall
other pieces of botnet malware

Figura 14. Um resumo das três principais bases de código-fonte de bots de IoT

Na próxima seção, discutiremos a disponibilidade dessas famílias de malware de botnet no submundo

do cibercrime, observando os diferentes fóruns ou mercados para eles.

15 | Worm War: A Batalha da Botnet pelo Território da IoT

Malware de Botnets de IoT no
submundo do cibercrime
Os cibercriminosos estão vendendo o Qbot e outras tantas variantes do Mirai em fóruns clandestinos,
lojas online e até mídias sociais, incluindo Twitter e Instagram. Em geral, o aluguel de malware de botnet
de IoT é muito acessível e permite que criminosos inexperientes e de baixo nível comecem a agir. Os
aluguéis do Qbot, por exemplo, começam com apenas US$ 5. Os códigos-fonte originais do Qbot e Mirai
são gratuitos, mas o preço para modificações e novas variantes começa em US$ 30. Esse preço varia
dependendo da presença ou ausência de recursos de detecção de antimalware.

Também observamos vários anúncios de guias sobre “como ganhar dinheiro com botnets” e até mais
básicos sobre “como configurar botnets”. A faixa de preço desses guias varia muito, com alguns
oferecidos gratuitamente e outros vendidos a preços altos.

Figura 15. Uma loja que oferece aluguel do Qbot e do Mirai, incluindo serviços de configuração

16 | Worm War: A Batalha da Botnet pelo Território da IoT

 Figura 16. Um usuário do fórum que procura adquirir serviços de configuração do Qbot

Alguns anúncios clandestinos oferecem um estilo de balcão único com uma variante privada de botnet,
configuração de infraestrutura, um bot killer e um “brute-forcer” de Telnet, tudo em apenas um pacote.
Esses serviços são mais caros e podem chegar a mais de US$ 150.

Figura 17. Um pacote de serviço DDoS baseado em Qbot

O screenshot do Twitter na figura 18 mostra que os fóruns clandestinos não são as únicas maneiras
que os cibercriminosos têm para anunciarem seus produtos. As redes sociais convencionais também
são usadas da mesma maneira. Vale notar que os cibercriminosos também estão oferecendo um “mini
ataque DDoS”, capaz de criar um atraso de 5.500 segundos, uma duração de cerca de uma hora e meia.
Isso pode até não ser suficiente para derrubar um site, mas no mundo dos games isso é mais do que
suficiente para ganhar um jogo ou tornar um servidor indisponível para um clã rival.

17 | Worm War: A Batalha da Botnet pelo Território da IoT

 Figura 18. Uma postagem no Twitter que anuncia aluguéis de Mirai e Qbot a partir de US$ 15 por mês

O cibercriminoso por trás do anúncio no Instagram mostrado na Figura 19 está vendendo serviços de
denial-of-service (DoS) e virtual private network (VPN). Ele pode monetizar roteadores infectados nas duas
formas. Não apenas o roteador da vítima está sendo usado para extorquir outros usuários da Internet via
DDoS, mas o endereço IP também está sendo usado e mostrado como evidência registrada em outros
ataques de agentes maliciosos.

Figura 19. Uma postagem no Instagram que anuncia aluguéis de Mirai e Qbot

No Instagram, encontramos vários anúncios de serviços de revenda de botnet. Os anúncios geralmente

contêm fotos ou vídeos que mostram quanto dinheiro se poderia ganhar com as essas redes dos
anunciantes.

18 | Worm War: A Batalha da Botnet pelo Território da IoT

 Figura 20. Um vendedor de botnet de IoT mostrando seu sucesso no Instagram

Resumimos a faixa de preços dos serviços relacionados ao Mirai, ao Kaiten e ao Qbot que vimos
disponíveis online na Tabela 1.

Serviço Preço

Mirai
De US$5 a US$15 por mês
Aluguel
A partir de US$35 para compra única

Códigos-fonte das variantes A partir de US$ 30

Código fonte Gratuito

Kaiten
Aluguel US$ 15 por mês

Código fonte US$ 300 com configuração em 2016

US$ 5 sem configuração em 2018
Gratuito em 2020

Qbot
Aluguel De US$ 5 a US$15 por mês
A partir de US$ 35 para compra única

Códigos-fonte das variantes A partir de US$ 30

Código fonte Gratuito

Configuração US$ 5

Serviço de botnet com criptografia US$ 25

Tabela 1. Preços dos serviços relacionados a malware de botnet da IoT em 31 de março de 2020

Como mostra esta seção, os serviços relacionados a malware de botnets de IoT não são difíceis de
comprar e estão disponíveis a preços iniciais acessíveis. Indo além dos fóruns clandestinos, alguns
vendedores também anunciaram seus “produtos” em plataformas de mídias sociais. Isso pode refletir o
quão populares e acessíveis botnets da IoT estão no mundo no cibercrime.

19 | Worm War: A Batalha da Botnet pelo Território da IoT

Estudo de Caso: JenX
Nesta seção, apresentamos um exemplo de como os atacantes usaram um malware de botnet de IoT
chamado JenX para infectar roteadores para seu próprio benefício. Achamos notável que os agentes de
ataque não pareciam ter alto conhecimento técnico na condução de sua campanha, com base no uso
de ferramentas prontas e em fóruns discutindo o grupo. Esse caso ajuda a ilustrar o tipo de pessoas que
estão nessa competição para infectar roteadores. Os agentes de ataque deste estudo de caso podem
ser considerados “soldados” nesta guerra por território.

O JenX foi usado contra a comunidade espanhola de jogos da popular série de videogames de ação
e aventura Grand Theft Auto (GTA). Ele se baseia nos códigos de Masuta e Brickerbot21. O fato de
JenX e Masuta, que se acredita serem uma modificação de Mirai22, estarem vinculados é sugerido pelo
aparecimento da sequência bastante questionável “meu deus, aquela família chinesa na outra mesa com
certeza comeu muito”, conforme mostra a Figura 21, em ambos os binário

Figura 21. O código-fonte do JenX mostrando a mesma cadeia de caracteres encontrada no código de
Masuta

O servidor C&C para JenX estava hospedado no site principal de um grupo chamado San Calvicie,
localizado em sancalvicie[.]com. O site também forneceu servidores mod GTA multiplayer e serviços
DDoS com banda larga garantida de 290 a 300 Gbps a uma taxa mínima de US$ 20.23

Figura 22. Uma matriz de preços incluindo o valor de um serviço DDoS chamado Corriente Divina
(“Corrente Divina” em espanhol).

20 | Worm War: A Batalha da Botnet pelo Território da IoT

O JenX explora duas vulnerabilidades conhecidas: execução de comando SOIG (Simple Object Access
Protocol) do Miniigd UPnP (Universal Plug and Play) SOAP (Simple Object Access Protocol) – CVE-2014-
836124 – e execução arbitrária de comandos do Huawei Router HG532 (CVE-2017-17215)25 . Embora
sejam vulnerabilidades antigas, a natureza sem patches de muitos roteadores resulta neles ainda poderem
ser explorados com êxito.

As publicações nos fóruns de jogos apontaram repetidamente para San Calvicie como o grupo responsável
pelos ataques DDoS a outras comunidades de jogos. Em uma dessas postagens, um usuário chegou
ao ponto de estabelecer a nacionalidade e outros detalhes pessoais do líder do grupo, como mostra a
Figura 23.

Desde 2016, a comunidade espanhola de GTA tem lidado com o assédio de jogadores do San Calvicie,
além de seus próprios concorrentes no negócio de DDoS em jogos, como o Fenixzone. Seus outros
objetivos incluem servidores Grand Theft Multiplayer (GTMP) e o supramencionado ISP francês OVH.

Figura 23. Uma reclamação de 2017 sobre o ataque de San Calvicie nos servidores do GTA26

De acordo com as postagens no fórum de jogos, o líder da San Calvicie também atacou os
concorrentes de DDoS para coagi-los a lhe vender seus servidores. Em alguns casos, o líder de San
Calvicie desliga os servidores depois de comprá-los. Aparentemente, a guerra de worms não se
restringe apenas a controlar os roteadores das vítimas: estende-se a tirar proveito dos exércitos de
máquinas infectadas contra a concorrência.

Em 2018, o GTMP trocou de proprietário quando o “DurtyFree”, seu proprietário original, decidiu vendê-
lo porque não podia mais mantê-lo. Um usuário com o nome de “Julice”, que alguns identificaram
como líder de San Calvicie, superou a melhor oferta de € 8.000 (cerca de US$ 9.000), feita por um dos
codificadores do GTMP, que procurava apoiar a comunidade. O DurtyFree acabou vendendo o GTMP
e seu código-fonte para Julice por € 30.000 (cerca de US$ 34.000). Os membros do fórum de jogos
expressaram sua preocupação em ter Julice como o novo proprietário do GTMP, visto que San Calvicie
havia desenvolvido uma reputação de incomodar outros jogadores. Alguns acreditavam que Julice
usaria o cliente GTMP para expandir sua botnet de 25.000 membros.

21 | Worm War: A Batalha da Botnet pelo Território da IoT

Figura 24. Uma postagem no fórum discutindo Julice e sua compra do GTMP após ter superado um dos
seus codificadores

Figura 25. Mensagens de bate-papo do proprietário do GTMP sobre a dificuldade de banir alguém, pois
seus servidores sofreriam DDoS em retaliação

Vários canais de jogos no YouTube que ocasionalmente incluem entrevistas com membros do San
Calvicie discutem a ameaça que o grupo apresenta a outros servidores de jogo27. Existe até uma
petição do Change.org sobre esse assunto, com mais de 1.000 assinaturas pedindo o banimento de
Julice, que também é conhecido como “Sergioo”, na comunidade de jogadores28.

22 | Worm War: A Batalha da Botnet pelo Território da IoT

 Figura 26. Um vídeo do YouTube discutindo a guerra DDoS em andamento entre San Calvicie e a
comunidade espanhola de jogadores de GTA

Figura 27. Uma petição do Change.org para banir Julice, também conhecido como Sergioo da
comunidade de jogadores

Algumas postagens no fórum também acusaram o suspeito líder da San Calvicie de invadir contas do
Paypal29. Um servidor GTA que foi conectado ao San Calvicie, LS-RP, também esteve envolvido na
atividade de DDoS em 9 de junho de 2020, de acordo com o AbuseIPDB30.

23 | Worm War: A Batalha da Botnet pelo Território da IoT

San Calvicie e seus seguidores participam de uma página no Facebook chamada “Calvos for Locos”
(calvos que significa “careca” e locos que significa “loucos”, em espanhol). Os posts incluem conversas
sobre a atividade de DDos com outros servidores de jogos, atualizações de jogos e reclamações sobre
membros de jogos.

Figura 28. Uma página de fãs de San Calvicie no Facebook

San Calvicie é um agente de ataque estereotipado nessa guerra por território, ou seja, o grupo tem um
objetivo. No caso do grupo, é promover a própria comunidade de jogadores dos membros, destruindo
seus adversários. Eles usam botnets de IoT para atingir seus objetivos. Isso implica assumir o maior
número possível de roteadores e usar sua banda larga para executar DDoS em outras comunidades
de jogos ou vendê-la para outra pessoa contratar sua energia. Esses recursos de DDoS podem acabar
sendo usados por outros jogadores, indivíduos com o intuito de realizar extorsões e outras pessoas
para qualquer finalidade.

Este não é um incidente isolado. O preço dessas armas é tão ridiculamente baixo — geralmente elas
são simplesmente gratuitas — que praticamente qualquer pessoa pode ingressar nesta guerra.

24 | Worm War: A Batalha da Botnet pelo Território da IoT

Conclusão
Mostramos como agentes mal-intencionados podem usar várias ferramentas para comprometer o maior
número possível de roteadores on-line, incluindo aqueles que já estão nas mãos de seus rivais. Nesta
competição, quanto maior a botnet, mais poder ela tem, e cada grupo procura ativamente conquistar
o controle dos recursos de seus concorrentes. Os cibercriminosos usam roteadores infectados para
diferentes propósitos, desde a venda de serviços baseados em roteadores infectados até o ataque a seus
próprios inimigos, que normalmente são outras comunidades ou servidores. Mas uma coisa é muito clara:
nesta worm war, não é suficiente que os invasores saibam como monetizar roteadores infectados, nem
basta saber quem são seus rivais: eles também precisam conhecer os pontos fracos destes adversários
para poderem superar a concorrência.

Os usuários comuns da Internet não têm ideia de que essa guerra está acontecendo dentro de suas
próprias casas e de como isso os afeta — o que torna essa questão toda ainda mais preocupante. A
conclusão é que os proprietários de roteadores responsáveis, em qualquer configuração, devem cuidar
adequadamente de suas conexões e dispositivos de Internet. Caso contrário, correm o risco de serem
vitimados por cibercriminosos que poderiam usar seus dispositivos para realizar novos ataques a outras
pessoas.

Esta questão não poderia ser mais importante num momento como o que estamos vivendo, em que
muitas pessoas permanecem e trabalham em casa. Ter cuidado com a segurança dos roteadores pode
significar a diferença entre ser produtivo em casa ou não. Os roteadores de uma botnet gastam recursos
atacando outras pessoas ou deixando os cibercriminosos ficarem online, geralmente maximizando a
largura de banda destinada a tornar o trabalho em casa possível e conveniente.

Assumir o controle da segurança de roteadores e outros dispositivos de IoT pode salvá-los do interesse
de grupos que desejam expandir suas redes de bots. Os usuários podem restringir o campo de batalha
e enfraquecer o arsenal desses grupos em guerra, reexaminando as medidas de segurança e as
configurações de seus dispositivos conectados.

Recomendamos que os usuários com experiência em TI verifiquem a integridade de seus roteadores pelo
menos uma vez por trimestre, seguindo estas etapas:

• Verifique os logs quanto a comportamento incomum, contas estranhas e outras anomalias.

• Certifique-se de que o roteador está executando o firmware mais recente.

• Use uma senha forte e difícil de adivinhar e faça alterações nela periodicamente.

• Desative o login remoto para permitir apenas logins da rede local.

25 | Worm War: A Batalha da Botnet pelo Território da IoT

Nesse período de trabalho remoto, também incentivamos as equipes de TI a auxiliarem outros funcionários
na proteção de seus roteadores domésticos. Cada país geralmente possui um número limitado de
modelos de roteador emitidos por diferentes ISPs. Criar um guia de ajuda para cada um deles não
é apenas possível, mas também será útil aos usuários atendidos a permanecerem seguros enquanto
trabalham em casa.

Os dispositivos conectados também podem ser protegidos por software de segurança, como as
soluções Trend Micro™ Home Network Security31 e Trend Micro™ Network Security SDK32 que podem
verificar o tráfego da Internet entre um roteador e todos os dispositivos conectados. Essas soluções,
que também ajudam os usuários a ter melhor visibilidade sobre seus dispositivos e fornecem avaliação
de vulnerabilidade, podem ser ferramentas essenciais para impedir que malware de botnet assuma os
dispositivos em uma guerra em que os roteadores são o campo de batalha e o prêmio a ser ganho.

26 | Worm War: A Batalha da Botnet pelo Território da IoT

 Apêndice

Os indicadores de comprometimento para JenX e Momentum são mostrados na Tabela 2, incluindo

nomes de arquivos, endereços IP, domínios e hashes relacionados derivados do SHA-256 e Telfhash
(Trend Micro ELF Hash), um novo algoritmo de cluster que desenvolvemos para ajudar a agrupar o Linux
Malwares IoT33.

Nome do arquivo,
Malware endereço IP, ou SHA-256 Telfhash
domínio

a51c4e7bd27348bc24b694538e a621e248a7001fec2ff0894e83
jennifer.arm ee9b19e60727c49b362fe4cbac 5ae237b4663890aa172855c75f
911caa015e21 9d5e4362fb77561833

04463cd1a961f7cd1b77fe6c9e 24f03a5811381bf493818dddab
jennifer.mips 9f5e18b34633f303949a0bb072 ddff38a4a184df99692f378d00
82dedcd8e9dc d9d9a721a829c01c3c

01ca8fe678b8375b60ba9571a4 8a1128e4be7294f9f2e4ac4d8b
jennifer.x86 790448bade3b30b5d29665565f 2e6726833606600f3364b944f2
cbb1ab5f6ae 6dc136f1193a8f5c48

JenX
50.63.202.73 x x

184.168.221.51 x x

sancalvicie.com x x

skids.sancalvicie.com x x

0c95e0a62a035c86ef534e3124 6ec1d8889c3b1dad5f131c0ca4
Momentum x 2ebf52ce1dfb3b420ca8bf8c7d 1e6e52095bb6abb484bf95ff35
7d0e94030581 ccc905a9029f868d0f

Tabela 2. Indicadores de comprometimento para JenX e Momentum

27 | Worm War: A Batalha da Botnet pelo Território da IoT

 Referências
1. Brian Krebs. (Oct. 26, 2018). Krebs on Security. “Mirai Co-Author Gets 6 Months Confinement, $8.6M in Fines for Rutgers At-
tacks.” Accessed on June 30, 2020, at https://krebsonsecurity.com/2018/10/mirai-co-author-gets-6-months-confinement8-
6m-in-fines-for-rutgers-attacks/.

2. Josh Fruhlinger. (March 9, 2018). CSO Online. “The Mirai botnet explained: How teen scammers and CCTV cameras almost
brought down the internet.” Accessed on June 9, 2020, at https://www.csoonline.com/article/3258748/the-mirai-botnet-ex-
plained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-internet.html.

3. Ted Sherman. (Dec. 17, 2017). NJ.com. “How a Rutgers student went from Minecraft to internet warfare.” Accessed on July
6, 2020, at https://www.nj.com/news/2017/12/inside_the_massive_cyber_scam_launched_by_a_kid_fr.html.

4. Charlie Osborne. (May 9, 2018). ZDNet. “Mirai DDoS attack against KrebsOnSecurity cost device owners $300,000.”
Accessed on June 9, 2020, at https://www.zdnet.com/article/mirai-botnet-attack-against-krebsonsecurity-cost-device-own-
ers-300000/.

5. Charlie Osborne. (Sep. 23, 2016). ZDNet. “Krebs on Security booted off Akamai network after DDoS attack proves pricey.”
Accessed on July 1, 2020, at https://www.zdnet.com/article/krebs-on-security-booted-off-akamai-network-after-ddos-at-
tack-proves-pricey/.

6. Garrett Graff. (Dec. 13, 2017). Wired. “How a Dorm Room Minecraft Scam Brought Down the Internet.” Accessed on June
30, 2020, at https://www.wired.com/story/mirai-botnet-minecraft-scam-brought-down-the-internet/.

7. Josh Fruhlinger. (March 9, 2018). CSO Online. “The Mirai botnet explained: How teen scammers and CCTV cameras almost
brought down the internet.” Accessed on June 30, 2020, at https://www.csoonline.com/article/3258748/the-mirai-botnet-ex-
plained-how-teen-scammers-and-cctv-cameras-almost-brought-down-the-internet.html.

8. Nicky Woolf. (Oct. 26, 2016). The Guardian. “DDoS attack that disrupted internet was largest of its kind in history, experts
say.” Accessed on June 9, 2020, at https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet.

9. Evosec. (Sept. 5, 2016). Evosec. “New IoT Malware? Anime/Kami.” Accessed on June 9, 2020, at https://evosec.eu/new-iot-
malware/.

10. Steve Ragan. (Feb. 22, 2018). CSO Online. “Linux Mint hacked: Compromised data up for sale, ISO downloads backdoored.”
Accessed on July 6, 2020, at https://www.csoonline.com/article/3035743/linux-mint-hacked-compromised-data-up-for-salei-
so-downloads-backdoored.html.

11. McAfee. (Oct. 1, 2002). McAfee. “Linux/DDoS-Kaiten.” Accessed on June 9, 2020, at https://www.mcafee.com/enterprise/
enus/threat-intelligence.malwaretc.html?vid=99733.

12. Georgios Kambourakis et al. (2019). Google Books. “Botnets: Architectures, Countermeasures, and Challenges.” Accessed
on June 30, 2020, at https://books.google.com/books?id=rcO2DwAAQBAJ&dq=Botnets:+Architectures,+Countermeas-
ures,+and+Challenges&source=gbs_navlinks_s.

13. Charlie Osborne. (Nov. 1, 2016). ZDNet. “Hackers release new malware into the wild for Mirai botnet successor.” Accessed
on June 29, 2020, at https://www.zdnet.com/article/hackers-release-new-malware-into-the-wild-for-mirai-botnet-successor/.

14. Catalin Cimpanu. (April 8, 2017). Bleeping Computer. “Irresponsible Chinese DVR Vendor Still the Target of IoT Botnets One
Year Later.” Accessed on June 29, 2020, at https://www.bleepingcomputer.com/news/security/irresponsible-chinese-dvr-
vendor-still-the-target-of-iot-botnets-one-year-later/.

15. Lindsey O’Donnell. (April 23, 2018). Threatpost. “Muhstik Botnet Exploits Highly Critical Drupal Bug.” Accessed on June 29,
2020, at https://threatpost.com/muhstik-botnet-exploits-highly-critical-drupal-bug/131360/.

28 | Worm War: A Batalha da Botnet pelo Território da IoT

16. Georgios Kambourakis et al. (2019). Google Books. “Botnets: Architectures, Countermeasures, and Challenges.” Accessed
on June 30, 2020, at https://books.google.com/books?id=rcO2DwAAQBAJ&dq=Botnets:+Architectures,+Countermeas-
ures,+and+Challenges&source=gbs_navlinks_s.

17. Doron Voolf. (June 11, 2020). F5 Labs. “Qbot Banking Trojan Still Up to Its Old Tricks.” Accessed on July 6, 2020, at https://
www.f5.com/labs/articles/threat-intelligence/qbot-banking-trojan-still-up-to-its-old-tricks.

18. New Jersey Cybersecurity and Communications Integration Cell. (Nov. 3, 2011). NJCCIC. “Bashlite NJCCIC Threat Profile.”
Accessed on June 30, 2020, at https://www.cyber.nj.gov/threat-center/threat-profiles/botnet-variants/bashlite.

19. Doron Voolf. (June 11, 2020). F5 Labs. “Qbot Banking Trojan Still Up to Its Old Tricks.” Accessed on July 1, 2020, at https://
www.f5.com/labs/articles/threat-intelligence/qbot-banking-trojan-still-up-to-its-old-tricks.

20. Aliakbar Zahravi. (Dec. 16, 2019). Trend Micro Security Intelligence Blog. “DDoS Attacks and IoT Exploits: New Activity from
Momentum Botnet.” Accessed on June 10, 2020, at https://blog.trendmicro.com/trendlabs-security-intelligence/ddos-at-
tacks-and-iot-exploits-new-activity-from-momentum-botnet/.

21. Radware. (Jan. 2, 2018). Radware. “JenX Botnet: A New IoT Botnet Threatening All.” Accessed on June 11, 2020, at https://
security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/jenx/.

22. Ya Liu and Hui Wang. (2018). Virus Bulletin. “VB2018 paper: Tracking Mirai variants.” Accessed on June 11, 2020, at https://
www.virusbulletin.com/virusbulletin/2018/12/vb2018-paper-tracking-mirai-variants/.

23. Pascal Geenens. (Feb. 1, 2018). Radware Blog. “JenX – Los Calvos de San Calvicie.” Accessed on June 11, 2020, at https://
blog.radware.com/security/2018/02/jenx-los-calvos-de-san-calvicie/.

24. National Vulnerability Database. (May 1, 2015). National Vulnerability Database. “CVE-2014-8361 Detail.” Accessed on June
11, 2020, at https://nvd.nist.gov/vuln/detail/CVE-2014-8361.

25. National Vulnerability Database. (March 20, 2018). National Vulnerability Database. “CVE-2017-17215 Detail.” Accessed on
June 11, 2020, at https://nvd.nist.gov/vuln/detail/CVE-2017-17215.

26. GTA Network. (April 6, 2017). GTA Network. “Why GTA Network accept this?” Accessed on June 11, 2020, at https://forum.
gtanet.work/index.php?threads/why-gta-network-accept-this.4092/.

27. YouTube. (Feb. 6, 2017). YouTube. ““HACKERS” SAN CALVICIE AMENAZA A FENIXZONE.” Accessed on July 15, 2020, at
https://www.youtube.com/watch?v=DH8_Pm-5fQY.

28. GTA World ES. (n.d.). Change.org. “Denuncia a Los Santos Juegos de Rol S.L..” Accessed on July 15, 2020, at https://www.
change.org/p/denuncia-a-los-santos-juegos-de-rol-s-l.

29. Puto Informático. (May 10, 2011). Puto Informático. “Crackeo Play Station Network.” Accessed on June 15, 2020, at https://
www.putoinformatico.net/crackeo-play-station-network/.

30. AbuseIPDB. (n.d.). AbuseIPDB. “AbuseIPDB : 158[.]69[.]162[.]173.” Accessed on June 30, 2020, at https://www.abuseipdb.
com/check/158.69.162.173.

31. Trend Micro. (n.d.). Trend Micro. “Home Network Security.” Accessed on July 6, 2020, at https://www.trendmicro.com/en_us/
forHome/products/homenetworksecurity.html.

32. Trend Micro. (n.d.). IoT Security. “Trend Micro™ Home Network Security SDK.” Accessed on July 6, 2020, at https://www.
trendmicro.com/us/iot-security/product/home-network-security-sdk?solutions=connected-consumer.

33. Fernando Mercês. (April 20, 2020). Trend Micro Security Intelligence Blog. “Grouping Linux IoT Malware Samples With Trend
Micro ELF Hash.” Accessed on June 15, 2020, at https://blog.trendmicro.com/trendlabs-security-intelligence/grouping-linuxi-
ot-malware-samples-with-trend-micro-elf-hash/.

29 | Worm War: A Batalha da Botnet pelo Território da IoT

TREND MICRO™ RESEARCH

A Trend Micro, líder global em segurança cibernética, ajuda a tornar o mundo seguro para a troca de informações digitais.

A Trend Micro Research conta com especialistas apaixonados em descobrir novas ameaças, compartilhar ideias importantes e apoiar esforços
com a finalidade de impedir os cibercriminosos. Nossa equipe global ajuda a identificar milhões de ameaças diariamente, lidera o setor em
divulgações de vulnerabilidades e publica pesquisas inovadoras sobre novas técnicas de ameaças. Trabalhamos continuamente para antecipar
novas ameaças e fornecer pesquisas instigantes.

www.trendmicro.com

© 2020 da Trend Micro, Incorporated. Todos os direitos reservados. Trend Micro e o logotipo t-ball da Trend Micro são marcas comerciais ou marcas registradas
da Trend Micro, Incorporated. Todos os outros nomes de produtos ou empresas podem ser marcas comerciais ou marcas comerciais registradas de seus
proprietários.