HeadCrab 2.0: меньше следов на диске, больше криптовалюты в кармане хакеров
Сколько зарабатывают киберпреступники на масштабной сети из тысяч скомпрометированных серверов?
Несколько дней назад исследователи из компании Aqua Security опубликовали данные об обновлённой версии вредоносной программы HeadCrab, которая с сентября 2021 года атакует серверы баз данных Redis по всему миру. О появлении обновлённого вредоноса стало известно ровно через год после первого публичного описания HeadCrab.
Эксперты Aqua Security сообщили, что за прошедшее время кампания по заражению серверов Redis почти удвоилась — теперь количество скомпрометированных систем достигло 2300. Для сравнения: в начале 2023 года фиксировалось около 1200 инфицированных хостов.
Вредонос HeadCrab был разработан специально для проникновения в открытые сети Redis и использования их вычислительных мощностей для незаконной добычи криптовалюты. Помимо этого, злоумышленники получают доступ к заражённым машинам для выполнения произвольных команд, загрузки бесфайловых модулей в ядро ОС и эксфильтрации данных.
Несмотря на масштаб кампании, личности преступников пока не установлены. Примечательно, что в саму программу HeadCrab встроен мини-блог, в котором злоумышленники делятся новостями о себе и своём вредоносе. Там хакеры сообщают о том, что их деятельность хоть и можно назвать паразитической, тем не менее, она не вредит людям. В качестве цели злоумышленники сообщили о желании зарабатывать на майнинге $15 000 в год (~115 тысяч рублей в месяц).
В HeadCrab 2.0 используются усложнённые методы сокрытия вредоносной активности. В отличие от первой версии, теперь для развёртывания вредоноса применяется бесфайловая загрузка, что снижает количество следов в файловой системе и затрудняет анализ.
Также был изменён протокол связи с командным сервером — вместо отдельных команд теперь используется стандартная команда Redis MGET. Это позволяет маскировать трафик под легитимный.
По мнению исследователей Aqua Security, HeadCrab 2.0 демонстрирует значительное усложнение механизмов сокрытия атаки по сравнению с первой версией. Это создаёт дополнительные трудности для систем обнаружения на базе поведенческого анализа.
Такая эволюция вредоносного ПО требует постоянного совершенствования инструментов защиты и выявления новых угроз. Крайне важно непрерывно отслеживать подобные кампании, собирать и анализировать телеметрию для своевременного обнаружения модифицированных версий.
Защитить серверы Redis можно с помощью регулярного обновления ПО, ограничения доступа извне, анализа трафика и журналов на предмет вредоносной активности. Лишь комплексный подход позволит существенно снизить риски заражения.
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!