HeadCrab pahavara

Uus, väga varjatud pahavara nimega HeadCrab on nakatanud võrgus Redise servereid ja loonud botnetti Monero krüptovaluuta kaevandamiseks. Th HeadCrabe'i pahavara on edukalt ohustanud üle 1200 Redise serveri, mida ta kasutab rohkemate sihtmärkide otsimiseks. HeadCrabi taga olevad keerukad ohutegijad on välja töötanud kohandatud pahavara, mis on kõrgelt arenenud ja mida traditsioonilised pahavaravastased lahendused või agentideta süsteemid ei tuvasta kergesti. Üksikasjad HeadCrabi pahavara ja ähvardavate operatsioonide kohta avaldati infoseci teadlaste aruandes.

HeadCrabi pahavara poolt ära kasutatud nakkusvektorit

Selle botneti taga olevad ründajad kasutavad Redise serverite haavatavust, mis on mõeldud organisatsiooni võrgusiseseks kasutamiseks ja millel puudub vaikimisi autentimine. Kui administraatorid ei suuda kogemata või tahtlikult oma servereid korralikult kaitsta ja neid Internetist juurdepääsetavaks teha, saavad ründajad ähvardavate tööriistade või pahavara abil hõlpsasti kontrolli alla saada. Kui neil on juurdepääs nendele autentimata serveritele, annavad ründajad käsu "SLAVEOF", et sünkroonida server nende kontrolli all oleva peaserveriga, võimaldades neil juurutada äsja kaaperdatud süsteemi HeadCrabi pahavara.

HeadCrabi pahavara kahjulikud võimalused

Pärast installimist ja aktiveerimist annab HeadCrab ründajatele kõik võimalused, mis on vajalikud sihitud serveri ülevõtmiseks ja selle oma krüptokaevandamise botnetti lisamiseks. See töötab ohustatud seadmete mälus, et vältida pahavaratõrjet. HeadCrabi pahavara kõrvaldab kõik logid ja suhtleb tuvastamisest pääsemiseks ainult teiste selle operaatorite kontrollitavate serveritega.

Ründajad suhtlevad autentsete IP-aadressidega, peamiselt oma teiste saastunud serveritega, et vältida tuvastamist ja minimeerida turvalahenduste poolt blokeerimise ohtu. Lisaks põhineb HeadCrab pahavara enamasti Redise protsessidel. Neid protsesse ei peeta tõenäoliselt ähvardavateks ega kahtlasteks. Kasulikud koormused laaditakse ainult mäluga failide "memfd" kaudu, samas kui kerneli moodulid laaditakse otse mälust, et vältida kettale kirjutamist.

HeadCrab Malware kampaaniaga seotud Monero krüptorahakoti aadressi analüüs näitas, et ründajad teenivad ligikaudu 4500 dollari suurust aastakasumit töötaja kohta. Kui hinnangud on õiged, näitab see drastilist tõusu, võrreldes tavapärase 200 dollariga töötaja kohta, mida täheldatakse teistes seda tüüpi operatsioonides.