Mumblehard, uma botnet que tinha como alvo servidores executando Linux foi fechada um ano depois de ser descoberta. De acordo com a empresa de segurança de TI ESET, “Com apenas um endereço IP agindo no servidor comando e controle (C&C) no backdoor do Mumblehard e sem um mecanismo de reserva, o controle desse endereço IP seria suficiente para parar as atividades maliciosas dessa botnet”. O malware infectou mais de 4.000 máquinas Linux, mas provavelmente afetou mais máquinas durante os cinco anos que soubemos de sua existência.
O Mumblehard é a criação de desenvolvedores experientes e altamente qualificados, que apresenta dois principais componentes – um backdoor e um spam daemon (um programa que é executado no backdoor e envia grandes quantidades de lixo eletrônico. Foram escritos em Perl, uma linguagem de programação que pode ser usada em uma grande variedade de tarefas e são ofuscadas dentro de um “pacote” personalizado que o executa. Os servidores de comando que coordenavam as operações das máquinas comprometidas também podiam enviar mensagens para o Spamhaus, que emprega uma lista de bloqueio composta (CBL) em tempo real, mantida pelo serviço antispam. Ele então solicita que quaisquer endereços IP baseados no Mumblehard saiam da lista. O resultado é uma infecção furtiva que torna esses componentes parte de uma rede renegada, detonando a Internet com spam e podendo servir a outros fins nefastos.
A empresa colaborou com agências da lei estonianas para fechar a botnet. Em fevereiro de 2016, eles assumiram o endereço IP pertencente ao servidor de comando, possibilitando acabar com a botnet. Após consultar o servidor de controle do agressor, eles descobriram as máquinas infectadas conectadas às máquinas benignas executadas pelo grupo de remoção.
Ainda não está claro como o Mumblehard conseguiu se apoderar de suas vítimas. Porém, inicialmente se suspeitou que o malware explorava vulnerabilidades nos sistemas de gestão de conteúdo como o WordPress e outros plugins associados a ele – mas essa teoria continua inconclusiva. O número de máquinas infectadas parece já estar caindo à medida que os sistemas são desinfetados.
