HeadCrab-haittaohjelma
Uusi, erittäin salakavala haittaohjelma nimeltä HeadCrab on tartuttanut Redis-palvelimia verkossa ja rakentanut bottiverkkoa Monero-kryptovaluutan louhimiseksi. Th HeadCrabe-haittaohjelma on onnistunut vaarantamaan yli 1 200 Redis-palvelinta, joita se käyttää uusien kohteiden etsimiseen. HeadCrabin takana olevat kehittyneet uhkatoimijat ovat kehittäneet räätälöityjä haittaohjelmia, jotka ovat erittäin kehittyneitä ja joita perinteiset haittaohjelmien torjuntaratkaisut tai agentittomat järjestelmät eivät helposti havaitse. Tietoja HeadCrab-haittaohjelmasta ja uhkaavista toiminnoista julkaistiin infosecin tutkijoiden raportissa.
HeadCrab-haittaohjelman käyttämä infektiovektori
Tämän bottiverkon takana olevat hyökkääjät käyttävät hyväkseen Redis-palvelimien haavoittuvuutta, joka on suunniteltu sisäiseen käyttöön organisaation verkossa ja josta puuttuu oletusarvoisesti todennus. Jos järjestelmänvalvojat eivät vahingossa tai tarkoituksella pysty suojaamaan palvelimiaan kunnolla ja tarjoamaan niitä saataville Internetistä, hyökkääjät voivat helposti saada hallintaansa käyttämällä uhkaavia työkaluja tai haittaohjelmia. Kun heillä on pääsy näihin todentamattomiin palvelimiin, hyökkääjät antavat "SLAVEOF"-komennon synkronoidakseen palvelimen hallitsemansa pääpalvelimen kanssa, jolloin he voivat ottaa käyttöön HeadCrab-haittaohjelman äskettäin kaapatussa järjestelmässä.
HeadCrab-haittaohjelman haitalliset ominaisuudet
Kun HeadCrab on asennettu ja aktivoitu, se antaa hyökkääjille täyden valikoiman kykyjä, joita tarvitaan kohteena olevan palvelimen hallintaan ja sen sisällyttämiseen salauslouhintabottiverkkoonsa. Se toimii vaarantuneiden laitteiden muistissa väistääkseen haittaohjelmien torjuntatarkistuksia. HeadCrab-haittaohjelma poistaa kaikki lokit ja kommunikoi vain muiden operaattoreidensa hallitsemien palvelimien kanssa välttääkseen havaitsemisen.
Hyökkääjät kommunikoivat aitojen IP-osoitteiden, ensisijaisesti muiden saastuneiden palvelimiensa kanssa välttääkseen havaitsemisen ja minimoidakseen turvaratkaisujen eston riskin. Lisäksi HeadCrab-haittaohjelmat perustuvat enimmäkseen Redis-prosesseihin. Näitä prosesseja ei todennäköisesti pidetä uhkaavina tai epäilyttävinä. Hyötykuormat ladataan vain muistia sisältävien "memfd"-tiedostojen kautta, kun taas ydinmoduulit ladataan suoraan muistista, jotta vältetään levyn kirjoittaminen.
HeadCrab-haittaohjelmakampanjaan liittyvän Monero-salauslompakkoosoitteen analyysi on paljastanut, että hyökkääjät keräävät noin 4 500 dollarin vuotuista voittoa työntekijää kohden. Jos arviot ovat oikein, se osoittaa jyrkkää nousua yli tyypillisen 200 dollarin työntekijää kohden, joka havaitaan muissa tämäntyyppisissä toiminnoissa.
