Investigadores de Aqua Security detectaron una campaña sofisticada dirigida por los actores de amenazas HeadCrab, que apuntan a los servidores Redis expuestos a Internet para secuestrarlos y agregarlos a su red de bots.
Esto, a su vez, se utiliza con fines de criptominería, específicamente la moneda Monero. Los investigadores señalan que el malware está diseñado a medida para inyectar su carga útil en la memoria, para evitar que las soluciones de seguridad lo detecten. Se recomienda a los administradores de servidores Redis que cierren los puertos y apliquen restricciones de acceso para estar seguros.
Explotación de servidores Redis para criptominería
Nitzan Yaakov y Asaf Eitani de Aqua Security han detalló una campaña de botnet – donde un actor de amenazas está distribuyendo un nuevo malware llamado HeadCrab contra los servidores Redis. En este informe, los investigadores señalaron que la campaña ha estado en marcha desde septiembre de 2021 y ahora tiene más de 1200 servidores Redis vulnerables infectados.
Los piratas informáticos están aprovechando el hecho de que los servidores Redis no vienen con una autenticación predeterminada, ya que están diseñados para usarse dentro de la red de una organización y no deben estar expuestos a Internet sin un propósito significativo.
Pero hay momentos en que los administradores los exponen accidentalmente o realizan configuraciones incorrectas, lo que lleva a los actores de amenazas a explotarlos para su uso. Lo mismo sucede en este caso, ya que los actores de amenazas que aprovechan los servidores Redis expuestos activan el ‘ESCLAVO DE‘ comando y controlarlos de forma remota.
Esta función también les permite instalar HeadCrab, un malware relativamente nuevo que se instala en la memoria del sistema de los servidores comprometidos. Elimina todos los registros y solo se comunica con servidores controlados por piratas informáticos. Y dado que estos son los otros servidores Redis en la red, las soluciones de seguridad a menudo no los marcan.
Además, los investigadores notaron que la carga útil de esta operación se instala en archivos de solo memoria, lo que evita que el software antivirus los incluya en la lista negra. Todos estos servidores comprometidos luego se unen a una botnet para criptominería: especialmente Monero.
Los investigadores notaron que la billetera Monero vinculada a esta operación de botnet mostraba que cada trabajador ganaba $ 4,500 como ganancia anual, simplemente asombroso en comparación con las ganancias habituales de $ 200 por trabajador en operaciones similares.
