Malware de botnet con rasgos similares a gusanos apunta a la popular herramienta de almacenamiento Redis
Un grupo de piratas informáticos no identificado lanzó un ataque utilizando una variedad única y notable de malware dirigido a implementaciones de Redis de acceso público. Redis es la opción popular de las principales empresas como Amazon, Hulu y Tinder para el almacenamiento de datos. La característica más llamativa del malware es su comportamiento similar al de un gusano, lo que le permite autopropagarse o replicarse a través de sistemas sin intervención humana después de obtener acceso a una red, como lo destacan los investigadores.
Los investigadores de seguridad se han encontrado recientemente con una variedad preocupante de malware denominada " P2Pinfect ". Su notable capacidad para propagarse e infectar de forma autónoma otras implementaciones vulnerables de Redis llamó su atención. Este comportamiento de autopropagación plantea preocupaciones importantes, ya que puede permitir que el malware amplíe su alcance e impacto rápidamente. A pesar de su extensa investigación, los investigadores aún tienen que identificar los objetivos específicos de este malware similar a una botnet, dejando el propósito detrás de su implementación envuelto en misterio. Las posibles ramificaciones de una amenaza tan avanzada y autónoma han levantado banderas rojas en la comunidad de ciberseguridad, lo que justifica un mayor análisis y vigilancia para protegerse contra posibles ataques.
La Unidad 42 de Palo Alto analizó la campaña de piratería y su informe, publicado el 19 de julio, reveló la utilización de CVE-2022-0543 por parte del malware para apoderarse de las aplicaciones de Redis y asimilarlas a una botnet. Esta botnet comprende una colección de computadoras infectadas bajo el control del pirata informático. Si bien la misma vulnerabilidad estuvo sujeta a una explotación anterior para asimilar dispositivos en la botnet Muhstik en 2022 , el último malware, P2PInfect, parece estar asociado con una red malévola distinta y no está vinculado a Muhstik, según los hallazgos de Unit 42.
El informe se alinea con gran parte de los hallazgos de Unit 42, y revela que el malware está codificado en el lenguaje de programación Rust e intenta infectar a otros hosts una vez conectados a la botnet.
Sin embargo, se descubrieron dos distinciones notables. En primer lugar, la muestra de malware analizada por sus investigadores no explotó CVE-2022-0543 como punto de acceso inicial. En segundo lugar, P2Pinfect apuntó a instancias Redis de Windows y Linux. Señalaron que el uso del lenguaje de programación Rust permitió que el malware funcionara en plataformas Windows y Linux, al tiempo que dificultaba el análisis del código para los analistas. El propósito y la identidad de quienes están detrás del malware siguen sin estar claros. Aunque los sistemas comprometidos extraen un "archivo minero", no parece realizar tareas de criptominería. Este "minero" podría servir potencialmente como marcador de posición para la futura distribución de criptominería por parte del actor de amenazas. De manera similar, la Unidad 42 observó instancias de la palabra "minero" en el juego de herramientas amenazante de P2PInfect, pero no encontró evidencia concluyente de operaciones de criptominería.
El malware tiene un doble propósito. En primer lugar, permite a los piratas informáticos proteger el servidor Redis de otros actores de amenazas que intentan comprometerlo mientras se asegura de que el servidor continúe funcionando legítimamente, evitando así que sus propietarios lo detecten. Tras la infección, el servidor comprometido se convierte en un componente de una botnet peer-to-peer. Esta configuración permite una comunicación fluida entre todos los nodos de botnet sin necesidad de un servidor de comando y control (C2) centralizado. Los investigadores sugieren que los comandos se implementan mediante la transmisión de mensajes firmados a través de la red. El malware apunta a hosts adicionales para propagar la infección mediante la recopilación de una lista de usuarios, direcciones IP y claves de acceso para el protocolo de comunicación de red SSH. Una vez que un nuevo host obtiene acceso, el malware se replica como si inicialmente infectara el servidor comprometido. Eso implica obtener una copia de sí mismo del servidor HTTP incorporado y ejecutarlo con una lista de nodos como argumento, expandiendo así su alcance a otros sistemas vulnerables.
Malware de botnet con rasgos similares a gusanos apunta a la popular herramienta de almacenamiento Redis capturas de pantalla
