Segundo os pesquisadores da Aqua Security Nitzan Yaakov e Asaf Eitani, o novo HeadCrab infectou 1.200 servidores Redis para minerar Monero.
Um novo malware furtivo projetado para caçar servidores Redis vulneráveis online infectou mais de mil deles desde setembro de 2021 para construir uma botnet que minera a criptomoeda Monero.
Descoberto pelos pesquisadores da Aqua Security Nitzan Yaakov e Asaf Eitani, que o apelidaram de HeadCrab, o malware já capturou pelo menos 1.200 desses servidores, que também são usados para escanear outros alvos online.
HeadCrab infectou 1.200 servidores Redis para minerar Monero
Sim. O novo malware HeadCrab infecta 1.200 servidores Redis para minerar Monero. Segundo os pesquisadores:
“Esse agente de ameaças avançado utiliza um malware de última geração feito sob medida que é indetectável por soluções antivírus tradicionais e sem agente para comprometer um grande número de servidores Redis.”
“Descobrimos não apenas o malware HeadCrab, mas também um método exclusivo para detectar suas infecções em servidores Redis. Nosso método encontrou aproximadamente 1.200 servidores infectados ativamente quando aplicado a servidores expostos na natureza”.
Os agentes de ameaças por trás dessa botnet aproveitam o fato de que os servidores Redis não têm autenticação habilitada por padrão, pois são projetados para serem usados na rede de uma organização e não devem ser expostos ao acesso à Internet.
Se os administradores não os protegerem e acidentalmente (ou intencionalmente) os configurarem para serem acessíveis de fora de sua rede local, os invasores podem facilmente comprometê-los e sequestrá-los usando ferramentas maliciosas ou malware.
Depois de obter acesso a servidores que não exigem autenticação, os agentes maliciosos emitem um comando ‘SLAVEOF’ para sincronizar um servidor mestre sob seu controle para implantar o malware HeadCrab no sistema recém-seqüestrado.
Malware HeadCrab (Aqua Security)
Depois de instalado e iniciado, o HeadCrab fornece aos invasores todos os recursos necessários para assumir o controle total do servidor de destino e adicioná-lo ao seu botnet de criptomineração.
Ele também será executado na memória em dispositivos comprometidos para contornar as varreduras anti-malware, e as amostras analisadas pela Aqua Security não mostraram nenhuma detecção no VirusTotal.
Ele também exclui todos os logs e se comunica apenas com outros servidores controlados por seus mestres para evitar a detecção.
“O invasor se comunica com endereços IP legítimos, principalmente outros servidores infectados, para evitar a detecção e reduzir a probabilidade de ser colocado na lista negra por soluções de segurança.”, acrescentaram os pesquisadores.
“O malware é baseado principalmente em processos Redis que provavelmente não serão sinalizados como maliciosos. As cargas são carregadas por meio de memfd, arquivos somente de memória e módulos de kernel são carregados diretamente da memória, evitando gravações em disco.”
Ao analisar o malware, eles também descobriram que os invasores usam principalmente pools de mineração hospedados em servidores previamente comprometidos para complicar a atribuição e a detecção.
Além disso, a carteira Monero vinculada a esta botnet mostrou que os invasores estão obtendo um lucro anual estimado de cerca de US$ 4.500 por trabalhador, muito mais do que os usuais US$ 200/trabalhador que operações similares fazem.
Para defender seus servidores Redis, os administradores são aconselhados a garantir que apenas clientes dentro de suas redes possam acessá-los, desabilitar o recurso “slaveof” se não for usado e habilitar o modo protegido, que configura a instância para responder apenas ao endereço de loopback e recusar conexões de outros endereços IP.
Muito bom amigo, vc tem contribuído muito com os usuários do linux.