Новый вредонос HeadCrab поразил 1200 серверов Redis, чтобы майнить на них криптовалюту

Новая вредоносная программа, предназначенная для выслеживания уязвимых серверов Redis в Интернете, заразила более тысячи из них, начиная с сентября 2021 года. Исследователи из компании Aqua Security, которые обнаружили эту программу, дали ей название HeadCrab. По их словам, вредонос пока что невозможно обнаружить традиционными антивирусными решениями.

«Мы обнаружили не только вредоносную программу HeadCrab, но и уникальный метод определения её заражения на серверах Redis. Наш метод выявил около 1200 зараженных серверов», — заявили исследователи .

Злоумышленники, стоящие за созданием ботнета, воспользовались уязвимостью серверов Redis: на них по умолчанию не включена аутентификация. Однако они предназначены для использования в сети организации и вообще не должны иметь доступа в Интернет.

Таким образом, вина в распространении вредоноса во многом лежит на администраторах, обслуживающих сервера. Потому что если случайно или намеренно настроить сервера так, чтобы они были доступны для подключения из Интернета, злоумышленники могут легко скомпрометировать и захватить их с помощью своих вредоносных инструментов.

​После установки и запуска HeadCrab предоставляет злоумышленникам все возможности, необходимые для получения полного контроля над целевым сервером и добавления его в свою ботнет-сеть криптомайнинга.

Также HeadCrab делает всё возможное, чтобы избежать обнаружения. Вот, что говорят исследователи по этому поводу: «Вредоносная программа основана на процессах Redis, которые вряд ли будут помечены как вредоносные. Полезная нагрузка загружается через memfd непосредственно в оперативную память сервера, избегая записи на диск».

Анализируя вредоносное ПО, исследователи также обнаружили, что злоумышленники в основном используют пулы майнинга, размещенные на ранее скомпрометированных серверах, чтобы усложнить атрибуцию и обнаружение.

Кроме того, по статистике криптокошелька Monero, связанного с этим ботнетом, злоумышленники получают годовую прибыль в размере около 4500 долларов с одного устройства, что намного выше, чем обычные 200 долларов на рядовых компьютерах.

Для защиты своих серверов Redis администраторам рекомендуется убедиться, что доступ имеют только клиенты в пределах сети, отключить функцию «slaveof», если она не используется, и включить защищенный режим.