# Mirai Botnet > [!high] Botnet IoT Histórico — Código-Fonte Público com Legado Duradouro > Mirai é o botnet que definiu a era das ameaças IoT: em 2016 realizou o maior ataque DDoS registrado até então (1,2 Tbps contra a Dyn DNS), derrubando Twitter, Netflix e Amazon. Após o vazamento do código-fonte, dezenas de variantes surgiram — Mirai é hoje uma família, não um único malware. ## Visão Geral O Mirai é o botnet IoT mais influente da história da segurança cibernética. Desenvolvido pelos estudantes americanos Paras Jha, Josiah White e Dalton Norman em 2016, o malware infecta dispositivos Linux embarcados — câmeras IP, roteadores, gravadores de vídeo digital (DVRs) e outros dispositivos IoT — explorando credenciais padrão de fábrica via força bruta. Em setembro e outubro de 2016, o Mirai foi usado em ataques DDoS volumétricos sem precedentes: primeiro contra o blog de Brian Krebs (620 Gbps), depois contra a Dyn DNS (1,2 Tbps), derrubando grande parte da internet americana por horas. O código-fonte foi vazado públicamente pelo próprio autor em setembro de 2016, desencadeando uma proliferação massiva de variantes. Após o vazamento, surgiram dezenas de famílias derivadas — Satori, Okiru, Masuta, Mozi, entre outras — que adicionam exploits de vulnerabilidades conhecidas além do brute force original. O Mirai e suas variantes continuam sendo responsáveis por uma parcela significativa do tráfego de ataque DDoS global em 2024-2025. > [!latam] Relevância para o Brasil e LATAM > O Brasil possui uma das maiores densidades de dispositivos IoT mal configurados da América Latina, incluindo câmeras IP de segurança, modems e roteadores com credenciais padrão. O país é tanto **vítima** (infraestrutura atacada por DDoS) quanto **fonte** de ataques Mirai (dispositivos brasileiros comprometidos usados em botnets globais). O [[technology|setor de telecomúnicações]], provedores de internet e empresas com exposição IoT devem priorizar a troca de credenciais padrão e segmentação de dispositivos IoT em redes dedicadas. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais padrão de fábrica (admin/admin, root/root, etc.) | | Credential Access | [[t1110-brute-force\|T1110]] | Força bruta em Telnet/SSH de dispositivos IoT | | Execution | [[t1059-004-unix-shell\|T1059.004]] | Shell Unix em dispositivos Linux embarcados | | Impact | [[t1498-network-denial-of-service\|T1498]] | Ataques DDoS volumétricos distribuídos | ## Detecção - Monitorar tentativas de login Telnet em roteadores e câmeras IP (padrão Mirai: porta 23, 2323) - Detectar tráfego de scanning massivo de saída de dispositivos IoT da rede interna - Implementar segmentação de dispositivos IoT em VLAN isolada sem acesso à internet - Monitorar dispositivos IoT em busca de processos suspeitos e tráfego de C2 ## Referências - [CISA - Understanding and Responding to Distributed Denial-of-Service Attacks](https://www.cisa.gov/sites/default/files/publications/understanding-and-responding-to-ddos-attacks.pdf) - [Cloudflare - Mirai Botnet History](https://www.cloudflare.com/learning/ddos/glossary/mirai-botnet/) - [Krebs on Security - Source Code for Mirai IoT Malware Released (2016)](https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/)