Cibercriminosos estão explorando uma vulnerabilidade de segurança em câmeras de vigilância descontinuadas da marca GeoVision. A falha, descoberta pela equipe de inteligência e resposta de segurança (SIRT) da Akamai Technologies, surgiu devido à ausência de atualizações de software desses dispositivos IoT, permitindo que esses equipamentos sejam comprometidos em ataques cibernéticos.

Esses ataques foram registrados em abril de 2025, quando a SIRT da Akamai descobriu atividades direcionadas ao URI /DateSetting.cgi em sua rede global de honeypots, sistema computacional controlado criado intencionalmente para atrair ataques cibernéticos e analisar o comportamento dos invasores. Após uma investigação mais aprofundada, essa atividade foi atribuída a vulnerabilidades de injeção de comando (CVE-2024-6047 e CVE-2024-11120) que haviam sido divulgadas anteriormente em dispositivos GeoVision.
 

Em nota, Alex Soares, engenheiro de soluções para parceiros para América Latina da Akamai, disse que a Akamai identificou que cibercriminosos estavam procurando na internet por dispositivos vulneráveis da GeoVision para realizar ataques usando malwares conhecidos. “Com base nessa movimentação, montamos o que chamamos de honeypots, servidores e equipamentos deixados desprotegidos de propósito para atrair ataques. Em abril, registramos tentativas bem-sucedidas de infecção, confirmando que agentes de ameaça estão espalhando vírus que atingem os sistemas vulneráveis”, completa.

Como funciona o ataque?

A análise da Akamai mostra que o malware é o LZRD, uma variante do botnet Mirai conhecida por assumir o controle dos dispositivos infectados e os conectando a um servidor remoto. Depois que um dispositivo é infectado, ele vira parte de uma rede oculta de equipamentos comprometidos, cujo objetivo é criar um grande volume de pequenos robôs (bots) para executarem ciberataques. Por meio deles, os cibercriminosos podem sobrecarregar sites com acessos até que fiquem fora do ar, os chamados ataques DDoS, ou escanear a internet em busca de mais dispositivos vulneráveis para infectar, ajudando a escalonar a campanha.

A Akamai estima que milhões de dispositivos IoT desprotegidos seguem conectados à internet e, também, às redes internas das corporações. São câmeras, roteadores, interfones e outros dispositivos inteligentes que facilitam a criação de grandes redes de bots, que representam um papel importante no aumento de mais de 94% nos ataques DDoS registrados em dezembro de 2024. Com alto nível de automação para a descoberta destes dispositivos, se há uma vulnerabilidade conhecida, está sendo ativamente explorada.

O setor de tecnologia é o que mais sofre com golpes desse tipo, com sete trilhões de ataques registrados no ano passado, de acordo com o relatório State of the Internet, publicado pela Akamai. Como os golpes são realizados a partir de dispositivos contaminados inseridos nas infraestruturas de corporações e até usuários finais, são essas as redes usadas nos ataques, o que dificulta o rastreamento dos criminosos responsáveis e praticamente impossibilita que a defesa seja feita apenas por humanos.

Os dispositivos infectados representam sérios riscos à segurança de uma empresa. Com o controle do dispositivo, o invasor consegue monitorar o que a câmera está gravando, desativá-la e até mesmo ouvir e falar por meio do aparelho, violando a privacidade de quem está no ambiente. Assim, o dispositivo infectado se torna porta de entrada para a rede corporativa da empresa, possibilitando acesso a informações confidenciais ou levando a outros ataques, como golpes de ransomware ou vazamentos de dados, causando prejuízos milionários às companhias.

Recomendações

Os cibercriminosos exploram vulnerabilidades em equipamentos de diferentes fabricantes conhecidas em busca de expandir sua botnet. Como os modelos afetados da GeoVision não recebem mais atualizações ou suporte, a Akamai recomenda fortemente que esses dispositivos sejam desconectados e substituídos por modelos atuais e com suporte ativo da fornecedora do aparelho.

Outra medida eficaz para que não haja maiores danos em caso de comprometimento de um dispositivo é a adoção da microsegmentação. Essa solução divide toda a infraestrutura digital de uma empresa em pequenos blocos isolados, o que impede que o cibercriminoso se movimente ainda mais dentro do sistema. Com a rede segmentada, mesmo que um aparelho seja invadido, o acesso a servidores, bancos de dados ou outros dispositivos sensíveis é bloqueado ou limitado. Isso ajuda a conter ataques, evitando que eles se espalhem e protegendo áreas críticas de uma organização.