Новый вредонос HeadCrab поразил 1200 серверов Redis, чтобы майнить на них криптовалюту

Злоумышленникам удалось создать эффективный ботнет из высокопроизводительных машин.​

9d9vr1npx1yzep867772rulc97407iaf.jpg

Новая вредоносная программа, предназначенная для выслеживания уязвимых серверов Redis в Интернете, заразила более тысячи из них, начиная с сентября 2021 года. Исследователи из компании Aqua Security , которые обнаружили эту программу, дали ей название HeadCrab. По их словам, вредонос пока что невозможно обнаружить традиционными антивирусными решениями.

«Мы обнаружили не только вредоносную программу HeadCrab, но и уникальный метод определения её заражения на серверах Redis. Наш метод выявил около 1200 зараженных серверов», — заявили исследователи .

Злоумышленники, стоящие за созданием ботнета , воспользовались уязвимостью серверов Redis: на них по умолчанию не включена аутентификация. Однако они предназначены для использования в сети организации и вообще не должны иметь доступа в Интернет.

Таким образом, вина в распространении вредоноса во многом лежит на администраторах, обслуживающих сервера. Потому что если случайно или намеренно настроить сервера так, чтобы они были доступны для подключения из Интернета, злоумышленники могут легко скомпрометировать и захватить их с помощью своих вредоносных инструментов.

После установки и запуска HeadCrab предоставляет злоумышленникам все возможности, необходимые для получения полного контроля над целевым сервером и добавления его в свою ботнет-сеть криптомайнинга.

Также HeadCrab делает всё возможное, чтобы избежать обнаружения. Вот, что говорят исследователи по этому поводу: «Вредоносная программа основана на процессах Redis, которые вряд ли будут помечены как вредоносные. Полезная нагрузка загружается через memfd непосредственно в оперативную память сервера, избегая записи на диск».

Анализируя вредоносное ПО, исследователи также обнаружили, что злоумышленники в основном используют пулы майнинга , размещенные на ранее скомпрометированных серверах, чтобы усложнить атрибуцию и обнаружение.

Кроме того, по статистике криптокошелька Monero , связанного с этим ботнетом, злоумышленники получают годовую прибыль в размере около 4500 долларов с одного устройства, что намного выше, чем обычные 200 долларов на рядовых компьютерах.

Для защиты своих серверов Redis администраторам рекомендуется убедиться, что доступ имеют только клиенты в пределах сети, отключить функцию «slaveof», если она не используется, и включить защищенный режим.