O HEH Botnet limpa roteadores, servidores e dispositivos de IoT

O HEH é um botnet IoT P2P escrito em linguagem GO que apaga dados de sistemas infectados. Saiba mais sobre mitigação, impacto e IOCs do HEH Botnet.

Updated on

April 17, 2026

Published on

December 4, 2020

Read MINUTES

Subscribe to the latest industry news, threats and resources.

Table of Contents

This is also a heading
This is a heading

O HEH é um botnet IoT P2P escrito em linguagem GO que apaga dados de sistemas infectados. Esse botnet está ativo desde outubro de 2020 e foi detectado como alvo de roteadores, servidores e dispositivos de IoT. Ele também pode infectar infraestruturas fracamente protegidas, como portas Telnet, sistemas Windows etc. No entanto, ele só funciona em plataformas NIX.

Modus operandi

A botnet é disseminada lançando ataques de força bruta em portas SSH expostas (23 e 2323).
O dispositivo então baixa um dos sete binários que instalam o malware HEH, que pode ser executado posteriormente nas arquiteturas de CPU x86 (32/64), ARM (32/64), MIPS (MIPS32/MIPS-III) e PPC.
Sua função principal permite que os invasores executem comandos do Shell no dispositivo comprometido. Isso garante que os dispositivos permaneçam infectados e os controla para realizar ataques SSH de força bruta na Internet para amplificar a intensidade do ataque de botnet.
Outro recurso permite que ele apague dados, mas não tem a capacidade de lançar ataques de DDoS, instalar mineradores de criptomoedas ou codificar para executar proxies e retransmitir tráfego para agentes de ameaças.

Impacto

Impacto técnico

Acesso não autorizado às funcionalidades do sistema de arquivos e do sistema operacional.
A confidencialidade dos dados é perdida como comandos de script para excluir os dados.

Impacto nos negócios

O comprometimento das informações dos usuários leva à perda de confiança e reputação.
Se a recuperação de dados não for possível, isso poderá resultar em perda financeira.

Mitigação

Monitoramento regular dos registros.
Verificar privilégios e permissões atribuídos aos usuários.
Usando firewalls para filtrar o tráfego.
Protegendo portas com senhas complexas.
Usando software antivírus.

Indicadores de compromisso (IOCs)

SHA-1

eff1ce72eddc9de694901f410a873a9d1ed21339
6fa68865f1a2ddd1cf22f1eba583517c05b6f6c3

MD5

43de9c5fbab4cd59b3eab07a81ea8715
6c815da9af17bfa552beb8e25749f313
984fd7ffb7d9f20246e580e15fd93ec7
4c345fdea97a71ac235f2fa9ddb19f05
6be1590ac9e87dd7fe19257213a2db32
bd07315639da232e6bb4f796231def8a
c1b2a59f1f1592d9713aa9840c34cade
c2c26a7b2a5412c9545a46e1b9b37b0e
66786509c16e3285c5e9632ab9019bc7

SHA-256

d302749a080dd73e25673560857495ba14fa382857f64d26138acb044e2d9242
4f9b895a2785f9788fcae8743ab04a24b62e0962b1f8a28dc1206c52327b7916

Nome do arquivo

wpqnbw [.] txt

Domínios

pomf [.] gato

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

Table of Contents

This is also a heading
This is a heading

Recent Articles

Anonymous Sudan alega a remoção bem-sucedida do primeiro site e aplicativo do banco de Abu Dhabi por meio de ataques de DDoS

May 29, 2023

Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI

January 17, 2024

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.

Agende uma demonstração

Real time Threat Intelligence Data

More information and context about Underground Chatter

On-Demand Research Services

Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.

Trusted by 400+ Top organisations

Get started

Learn more