ΑρχικήsecurityHeadCrab malware: Μολύνει 1,200 Redis servers για εξόρυξη Monero

HeadCrab malware: Μολύνει 1,200 Redis servers για εξόρυξη Monero

Το νέο HeadCrab malware που έχει σχεδιαστεί για να κυνηγάει ευάλωτους Redis servers στο διαδίκτυο έχει μολύνει περισσότερους από χίλιους από αυτούς από τον Σεπτέμβριο του 2021 για να δημιουργήσει ένα botnet που εξορύσσει κρυπτονομίσματα Monero.

HeadCrab malware

Οι ερευνητές της Aqua Security Nitzan Yaakov και Asaf Eitani ανακάλυψαν πρόσφατα το HeadCrab, ένα malware που έχει διεισδύσει με επιτυχία σε πάνω από 1.200 servers. Και το χειρότερο, αυτά τα κακόβουλα προγράμματα συνεχίζουν την αναζήτησή τους για περισσότερους ευάλωτους στόχους στο διαδίκτυο.

Δείτε επίσης: Χάκερ χρησιμοποιούν το IceBreaker malware για να παραβιάσουν εταιρείες gaming

Εκμεταλλευόμενοι την έλλειψη ελέγχου ταυτότητας στους Redis servers, οι απειλητικοί φορείς είναι σε θέση να εκμεταλλευτούν αυτή την αδυναμία, καθώς δεν σχεδιάστηκαν για να είναι προσβάσιμοι μέσω δημόσιων δικτύων. Αυτό τους αφήνει ανοιχτούς και ευάλωτους για μια κακόβουλη επίθεση που μπορεί εύκολα να ξεκινήσει ένα botnet.

Εάν οι διαχειριστές αποτύχουν να διασφαλίσουν ότι είναι ασφαλείς και τις ρυθμίσουν λανθασμένα έτσι ώστε να μπορούν να έχουν πρόσβαση εξωτερικές οντότητες, κακόβουλοι φορείς μπορούν να εκμεταλλευτούν αυτή την ευπάθεια χρησιμοποιώντας μη εξουσιοδοτημένα εργαλεία ή κακόβουλο λογισμικό. Αυτό θα μπορούσε δυνητικά να οδηγήσει σε hack της συσκευής από επιτιθέμενους.

Μόλις αποκτήσουν πρόσβαση σε servers που δεν απαιτούν έλεγχο ταυτοποίησης, οι κακόβουλοι παράγοντες πραγματοποιούν μια εντολή «SLAVEOF» για να συγχρονίσουν έναν κύριο server που βρίσκεται υπό τον έλεγχό τους για να αναπτύξουν το HeadCrab malware στο σύστημα που έχει πρόσφατα παραβιαστεί.

Αφού αναπτυχθεί και ενεργοποιηθεί, το HeadCrab παρέχει στους κακόβουλους φορείς την εξουσία να αναλάβουν την κυριότητα του στοχευμένου server και να τον ενσωματώσουν στο cryptomining botnet.

Αυτό το κακόβουλο λογισμικό μπορεί όχι μόνο να εκτελείται στη μνήμη για να αποφύγει τις σαρώσεις anti-malware, αλλά έχει επίσης αποδειχθεί μη ανιχνεύσιμο με τα δείγματα που αναλύθηκαν από την Aqua Security στο VirusTotal.

Επιπλέον, διαγράφει όλα τα αρχεία και επικοινωνεί μόνο με άλλους servers που διαχειρίζονται από τους ίδιους ιδιοκτήτες, προκειμένου να παραμείνει κρυφό.

Δείτε επίσης: LockBit Green ransomware: Νέα έκδοση βασίζεται στον source code του Conti

Redis servers

Κατά τη μελέτη του κακόβουλου λογισμικού, ανακάλυψαν ότι οι επιτιθέμενοι χρησιμοποιούν mining pools που φιλοξενούνται σε προηγουμένως παραβιασμένους servers για να αποκρύψουν την ταυτότητά τους και να αποφύγουν την ανίχνευση.

Επιπλέον, το Monero wallet που σχετίζεται με αυτό το botnet δείχνει ότι οι επιτιθέμενοι κερδίζουν ένα εκτιμώμενο ετήσιο εισόδημα περίπου 4.500 δολάρια ανά εργαζόμενο. Το ποσό αυτό είναι σημαντικά μεγαλύτερο από αυτό που κερδίζουν άλλες παρόμοιες επιχειρήσεις – συνήθως μόνο περίπου 200 δολάρια/εργαζόμενο.

Δείτε επίσης: InTheBox: Διαθέσιμες πάνω από 1.800 κακόβουλες φόρμες phishing

Για να υπερασπιστούν τους Redis servers, συνιστάται στους διαχειριστές να διασφαλίσουν ότι μόνο οι πελάτες εντός των δικτύων τους μπορούν να έχουν πρόσβαση σε αυτούς, να απενεργοποιήσουν τη δυνατότητα “slaveof” εάν δεν χρησιμοποιείται και να ενεργοποιήσουν την προστατευμένη λειτουργία, η οποία ρυθμίζει το instance ώστε να ανταποκρίνεται μόνο στη διεύθυνση επαναφοράς και να αρνείται συνδέσεις από άλλες διευθύνσεις IP.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS