El nuevo malware HeadCrab infecta 1200 servidores Redis para minar Monero

Iniciado por Dragora, Febrero 02, 2023, 11:45:37 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


El nuevo malware sigiloso diseñado para cazar servidores Redis vulnerables en línea ha infectado a más de mil de ellos desde septiembre de 2021 para construir una botnet que extrae la criptomoneda Monero.

Descubierto por los investigadores de Aqua Security, Nitzan Yaakov y Asaf Eitani, quienes lo llamaron HeadCrab, el malware ha atrapado hasta ahora al menos 1200 de estos servidores, que también se utilizan para buscar más objetivos en línea.

"Este actor de amenazas avanzado utiliza un malware personalizado de última generación que es indetectable por las soluciones antivirus tradicionales y sin agentes para comprometer una gran cantidad de servidores Redis", dijeron los investigadores .

Descubrimos no solo el malware HeadCrab, sino también un método único para detectar sus infecciones en servidores Redis. Nuestro método encontró aproximadamente 1200 servidores infectados activamente cuando se aplicó a servidores expuestos en la naturaleza".

Los actores de amenazas detrás de esta botnet aprovechan el hecho de que los servidores Redis no tienen la autenticación habilitada de forma predeterminada, ya que están diseñados para usarse dentro de la red de una organización y no deben estar expuestos al acceso a Internet.

Si los administradores no los protegen y accidentalmente (o intencionalmente) los configuran para que sean accesibles desde fuera de su red local, los atacantes pueden comprometerlos y secuestrarlos fácilmente usando herramientas maliciosas o malware.

Una vez que obtienen acceso a los servidores que no requieren autenticación, los actores maliciosos emiten un comando 'SLAVEOF' para sincronizar un servidor maestro bajo su control para implementar el malware HeadCrab en el sistema recién secuestrado.


Malware HeadCrab (Aqua Security)

​Después de ser instalado y lanzado, HeadCrab proporciona a los atacantes todas las capacidades necesarias para tomar el control completo del servidor objetivo y agregarlo a su red de bots de criptominería.

También se ejecutará en la memoria de los dispositivos comprometidos para evitar los análisis antimalware, y las muestras analizadas por Aqua Security no han mostrado detecciones en VirusTotal .

También elimina todos los registros y solo se comunica con otros servidores controlados por sus maestros para evadir la detección.

"El atacante se comunica con direcciones IP legítimas, principalmente otros servidores infectados, para evadir la detección y reducir la probabilidad de que las soluciones de seguridad lo incluyan en la lista negra", agregaron los investigadores.

"El malware se basa principalmente en los procesos de Redis que es poco probable que se marquen como maliciosos. Las cargas útiles se cargan a través de memfd, archivos de solo memoria, y los módulos del kernel se cargan directamente desde la memoria, evitando escrituras en el disco".

Mientras analizaban el malware, también descubrieron que los atacantes utilizan principalmente grupos de minería alojados en servidores previamente comprometidos para complicar la atribución y la detección.

Además, la billetera Monero vinculada a esta botnet mostró que los atacantes están obteniendo una ganancia anual estimada de alrededor de $ 4,500 por trabajador, mucho más que los $ 200 por trabajador habituales que generan operaciones similares.

Para defender sus servidores Redis, se recomienda a los administradores asegurarse de que solo los clientes dentro de sus redes puedan acceder a ellos, deshabilitar la función "esclavo" si no se usa y habilitar el modo protegido, que configura la instancia para responder solo a la dirección de bucle invertido y rechazar conexiones desde otras direcciones IP.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta