Novo malware HeadCrab infecta 1.200 servidores Redis para minerar Monero

Descoberto pelos pesquisadores da Aqua Security Nitzan Yaakov e Asaf Eitani, que o apelidaram de HeadCrab, o malware já capturou pelo menos 1.200 desses servidores, que também são usados ​​para escanear outros alvos online.

“Esse agente de ameaças avançado utiliza um malware de última geração feito sob medida que é indetectável por soluções antivírus tradicionais e sem agente para comprometer um grande número de servidores Redis”, disseram os pesquisadores .

“Descobrimos não apenas o malware HeadCrab, mas também um método exclusivo para detectar suas infecções em servidores Redis. Nosso método encontrou aproximadamente 1.200 servidores infectados ativamente quando aplicado a servidores expostos na natureza”.

Os agentes de ameaças por trás dessa botnet aproveitam o fato de que os servidores Redis não têm autenticação habilitada por padrão, pois são projetados para serem usados ​​na rede de uma organização e não devem ser expostos ao acesso à Internet.

Se os administradores não os protegerem e acidentalmente (ou intencionalmente) os configurarem para serem acessíveis de fora de sua rede local, os invasores podem facilmente comprometê-los e sequestrá-los usando ferramentas maliciosas ou malware.

Depois de obter acesso a servidores que não exigem autenticação, os agentes maliciosos emitem um comando ‘SLAVEOF’ para sincronizar um servidor mestre sob seu controle para implantar o malware HeadCrab no sistema recém-seqüestrado.

Depois de instalado e iniciado, o HeadCrab fornece aos invasores todos os recursos necessários para assumir o controle total do servidor de destino e adicioná-lo ao seu botnet de criptomineração.

Ele também será executado na memória em dispositivos comprometidos para contornar as varreduras anti-malware, e as amostras analisadas pela Aqua Security não mostraram detecções no VirusTotal.

Ele também exclui todos os logs e se comunica apenas com outros servidores controlados por seus mestres para evitar a detecção.

“O invasor se comunica com endereços IP legítimos, principalmente outros servidores infectados, para evitar a detecção e reduzir a probabilidade de ser colocado na lista negra por soluções de segurança”, acrescentaram os pesquisadores.

“O malware é baseado principalmente em processos Redis que provavelmente não serão sinalizados como maliciosos. As cargas são carregadas por meio de memfd, arquivos somente de memória e módulos de kernel são carregados diretamente da memória, evitando gravações em disco.”

Ao analisar o malware, eles também descobriram que os invasores usam principalmente pools de mineração hospedados em servidores previamente comprometidos para complicar a atribuição e a detecção.

Além disso, a carteira Monero vinculada a esta botnet mostrou que os invasores estão obtendo um lucro anual estimado de cerca de US$4.500 por trabalhador, muito mais do que os usuais US$ 200/trabalhador que operações similares fazem.

Para defender seus servidores Redis, os administradores são aconselhados a garantir que apenas clientes dentro de suas redes possam acessá-los, desabilitar o recurso “slaveof” se não for usado e habilitar o modo protegido, que configura a instância para responder apenas ao endereço de loopback e recusar conexões de outros endereços IP.