Malware HeadCrab
Një malware i ri, shumë i fshehtë i quajtur HeadCrab ka infektuar serverët Redis në internet dhe ka ndërtuar një botnet për të minuar kriptomonedhën Monero. Th HeadCrabe malware ka qenë i suksesshëm në kompromentimin e mbi 1200 serverëve Redis, të cilët i përdor për të kërkuar më shumë objektiva. Aktorët e sofistikuar të kërcënimit që qëndrojnë pas HeadCrab kanë zhvilluar malware të bërë me porosi që është shumë i avancuar dhe nuk zbulohet lehtësisht nga zgjidhjet tradicionale anti-malware ose sistemet pa agjentë. Detajet rreth malware HeadCrab dhe operacionet kërcënuese u publikuan në një raport nga studiuesit e infosec.
Vektor Infeksioni i shfrytëzuar nga Malware HeadCrab
Sulmuesit që qëndrojnë pas këtij botnet shfrytëzojnë një cenueshmëri në serverët Redis, i cili është krijuar për përdorim të brendshëm brenda rrjetit të një organizate dhe i mungon vërtetimi si parazgjedhje. Nëse administratorët nuk arrijnë të sigurojnë siç duhet serverët e tyre dhe t'i bëjnë ata të aksesueshëm nga Interneti, aksidentalisht ose qëllimisht, sulmuesit mund të fitojnë lehtësisht kontrollin duke përdorur mjete kërcënuese ose malware. Pasi të kenë akses në këta serverë të paautentikuar, sulmuesit lëshojnë një komandë "SLAVEOF" për të sinkronizuar serverin me një server kryesor nën kontrollin e tyre, duke i lejuar ata të vendosin malware-in HeadCrab në sistemin e rrëmbyer rishtazi.
Aftësitë e dëmshme të HeadCrab Malware
Pasi të instalohet dhe aktivizohet, HeadCrab u jep sulmuesve një gamë të plotë aftësish të nevojshme për të marrë përsipër serverin e synuar dhe për ta përfshirë atë në botnetin e tyre të kripto-minimit. Funksionon në kujtesën e pajisjeve të komprometuara për të shmangur skanimet kundër malware. Malware HeadCrab eliminon të gjitha regjistrat dhe komunikon vetëm me serverë të tjerë të kontrolluar nga operatorët e tij për t'i shpëtuar zbulimit.
Sulmuesit komunikojnë me adresa IP autentike, kryesisht serverët e tjerë të tyre të kontaminuar, për të shmangur zbulimin dhe për të minimizuar rrezikun e bllokimit nga zgjidhjet e sigurisë. Për më tepër, Malware HeadCrab bazohet kryesisht në proceset Redis. Këto procese nuk ka të ngjarë të konsiderohen kërcënuese ose të dyshimta. Ngarkesat ngarkohen përmes skedarëve 'memfd' vetëm me memorie, ndërsa modulet e kernelit ngarkohen direkt nga memorja si një mënyrë për të shmangur shkrimet në disk.
Analiza e adresës së kripto-portofolit Monero të lidhur me fushatën HeadCrab Malware ka zbuluar se sulmuesit po marrin një fitim vjetor të përafërt prej 4,500 dollarë për punëtor. Nëse vlerësimet janë të sakta, ai tregon një rritje drastike mbi 200 dollarët tipike për punëtor të vërejtur në llojet e tjera të këtyre operacioneve.
