Bezpečnostní experti z firmy Aqua Security Software objevili nový malware. Zneužívá servery Redis, ze kterých ze stávají nástroje pro těžbu kryptoměn. Jde o škodlivý kód vytvořený na míru, který není detekovatelný tradičními antivirovými nástroji.
Malware dostal název HeadCrab. Aktéři útoků jej zneužívají od září 2021 a doposud se jim podařilo infikovat nejméně 1200 severů Redis.
Objevil se nový malware: co by uživatelé měli mít na vědomí
Odborníci popisují HeadCrab jako velmi sofistikovaný druh škodlivého kódu, který byl vytvořen na míru. Jeho zákeřnost je mimo jiné i v tom, že není detekovatelný běžnými antivirovými skenery. | Zdroj: Reddit/ u/ExCryptor_Exchange
Redis je open-sourcové úložiště datových struktur, kterými mohou být databáze, lze využít jako cache paměť nebo jako zpracovatele zpráv. Servery Redis nemají ve výchozím nastavení povoleno ověřování a jsou určeny k provozu v bezpečné a uzavřené síti, nikoliv k vystavení na internet. Pokud jsou servery přístupné z internetu, jsou zranitelné vůči neoprávněnému přístupu a spouštění příkazů.
Útočníci proto cíleně vyhledávají servery, které jsou konfigurovány tak, aby byly zranitelné přes internet. Chybně konfigurované servery se proto stávají snadnou kořistí. Aktéři útoků pak přidají infikované servery do své botnetové sítě a těží Monero.
Mluvčí platformy Redis doporučil všem uživatelům platformy, aby se řídili bezpečnostními pokyny a postupy nejlepší praxe, které jsou zveřejněné v open-sourcové i komerční dokumentaci.
Po instalaci a spuštění malware HeadCrab útočníkům poskytuje všechny možnosti, které potřebují k úplnému ovládnutí cílového serveru a jeho přidání do botnetu pro těžby kryptoměny.
Na napadených zařízeních běží v paměti, a tím se vyhýbá detekci antivirovými programy. Vzorky analyzované experty z Aqua Security neměly při průchodu skenem na VirusTotal žádný pozitivní nález.
Malware také maže všechny protokoly a komunikuje pouze s ostatními ovládnutými servery, čímž se také vyhýbá možné detekci.
Kryptoměnová peněženka, propojená s tímto botnetem ukázala, že útočníci mají odhadovaný roční zisk ve výši 4500 USD na jednoho pracovníka. Obvykle to u kryptoměnové těžby bývá 200 USD na pracovníka.
Jako ochranná opatření proti napadení Redis serverů se doporučuje zajištění přístupu pouze ověřeným klientům sítě a aktivace chráněného režimu. Ten by měl být konfigurován tak, aby odmítal připojení z neověřených IP adres.
Zdroj: Aqua Security, Bleeping Computer, Reddit