Se ha descubierto que la botnet de malware peer to peer conocida como P2PInfect ataca servidores Redis mal configurados con ransomware y mineros de criptomonedas.
Este desarrollo marca la transición de la amenaza desde lo que parecía ser una botnet inactiva con motivos poco claros a una operación con motivaciones financieras.
«Con sus últimas actualizaciones del cripto minero, la carga útil del ransomware y los elementos del rootkit, demuestra los continuos esfuerzos del autor del malware para sacar provecho de su acceso ilícito y difundir aún más la red, mientras continúa invadiendo Internet», dijo Cado Security en un informe publicado esta semana.
P2PInfect salió a la luz hace casi un año y desde entonces ha recibido actualizaciones para arquitecturas MIPS y ARM. A principios de enero, Nozomi Networks descubrió el uso del malware para entregar cargas útiles a los mineros.
Generalmente se propaga apuntando a servidores Redis y su función de replicación para transformar los sistemas de las víctimas en un nodo seguidor del servidor controlado por el atacante, lo que posteriormente permite al actor de la amenaza emitirles comandos arbitrarios.
El gusano basado en Rust también tiene la capacidad de escanear Internet en busca de servidores más vulnerables, además de incorporar un módulo de rociado de contraseñas SSH que intenta iniciar sesión utilizando contraseñas comunes.
Además de tomar medidas para evitar que otros atacantes apunten al mismo servidor, se sabe que P2PInfect cambia las contraseñas de otros usuarios, reinicia el servicio SSH con permisos de root e incluso realiza una escalada de privilegios.
«Como sugiere el nombre, es una botnet peer-to-peer, donde cada máquina infectada actúa como un nodo en la red y mantiene una conexión con varios otros nodos», dijo el investigador de seguridad Nate Bill.
«Esto hace que la botnet forme una enorme red en malla, que el autor del malware utiliza para difundir archivos binarios actualizados por toda la red, mediante un mecanismo de chismes. El autor simplemente necesita notificar a un par, y este informará a todos sus pares y así sucesivamente hasta que el nuevo archivo binario se propague por completo por toda la red».
Entre los nuevos cambios de comportamiento de P2PInfect se incluye el uso del malware para eliminar cargas útiles de mineros y ransomware, el último de los cuales está diseñado para cifrar archivos que coinciden con ciertas extensiones de archivo y entregar una nota de rescate instando a las víctimas a pagar 1 XMR (~$165).
«Como se trata de un ataque no dirigido y oportunista, es probable que las víctimas sean de bajo valor, por lo que es de esperar que tengan un precio bajo», señaló Bill.
También cabe destacar un nuevo rootkit de modo usuario que utiliza la variable de entorno LD_PRELOAD para ocultar sus procesos y archivos maliciosos de las herramientas de seguridad, una técnica también adoptada por otros grupos de cryptojacking como TeamTNT.
Se sospecha que P2PInfect se anuncia como un servicio de botnet de alquiler, que actúa como conducto para implementar las cargas útiles de otros atacantes a cambio de un pago.
Esta teoría se ve reforzada por el hecho de que las direcciones de billetera del minero y del ransomware son diferentes, y que el proceso del minero está configurado para ocupar la mayor cantidad de poder de procesamiento posible, lo que hace que interfiera con el funcionamiento del ransomware.
«La elección de una carga útil de ransomware para malware dirigido principalmente a un servidor que almacena datos efímeros en memoria es extraña, y P2Pinfect probablemente obtendrá muchas más ganancias de su minero que de su ransomware debido a la cantidad limitada de archivos de bajo valor que contiene. puede acceder debido a su nivel de permiso», dijo Bill.
«La introducción del rootkit de modo usuario es una adición ‘buena en teoría’ al malware. Si el acceso inicial es Redis, el rootkit de modo usuario también será completamente ineficaz, ya que solo puede agregar la precarga para la cuenta de servicio Redis, con la que probablemente otros usuarios no inicien sesión».
La divulgación sigue a las revelaciones del Centro de Inteligencia de Seguridad de AhnLab (ASEC) de que servidores web vulnerables que tienen fallas sin parchear o están mal protegidos están siendo atacados por presuntos actores de amenazas de habla china para implementar criptomineros.
«El control remoto se facilita a través de shells web instalados y NetCat, y dada la instalación de herramientas proxy dirigidas al acceso RDP, la exfiltración de datos por parte de los actores de amenazas es una clara posibilidad», dijo ASEC , destacando el uso de Behinder, China Chopper, Godzilla, BadPotato, cpolar y RingQ .
También se produce cuando Fortinet FortiGuard Labs señaló que botnets como UNSTABLE, Condi y Skibidi están abusando de operadores legítimos de servicios informáticos y de almacenamiento en la nube para distribuir cargas útiles de malware y actualizaciones a una amplia gama de dispositivos.
«El uso de servidores en la nube para operaciones [de comando y control] garantiza una comunicación persistente con los dispositivos comprometidos, lo que dificulta que los defensores interrumpan un ataque», dijeron los investigadores de seguridad Cara Lin y Vincent Li.
Fuente y redacción: thehackernews.com