Forscher von Aqua Security entdeckten eine ausgeklügelte Kampagne unter der Leitung von Bedrohungsakteuren des Typs HeadCrab, die es auf im Internet exponierte Redis-Server abgesehen haben, um sie zu kapern und ihrem Botnetz hinzuzufügen.
Dies wiederum wird für Krypto-Mining-Zwecke verwendet, insbesondere für die Monero-Münze. Forscher weisen darauf hin, dass Malware speziell dafür entwickelt wurde, ihre Nutzlast in den Speicher einzuschleusen, um so eine Erkennung durch Sicherheitslösungen zu vermeiden. Redis-Servermanagern wird empfohlen, Ports zu schließen und Zugriffsbeschränkungen anzuwenden, um sicher zu sein.
Nutzung von Redis-Servern für Krypto-Mining
Nitzan Yaakov und Asaf Eitani von Aqua Security haben eine Botnet-Kampagne detailliert beschrieben: wo ein Bedrohungsakteur eine neue Schadsoftware namens HeadCrab gegen Redis-Server verbreitet. In diesem Bericht stellten die Forscher fest, dass die Kampagne seit September 2021 läuft und mittlerweile über 1.200 anfällige Redis-Server infiziert sind!
Die Hacker machen sich die Tatsache zunutze, dass Redis-Server nicht mit einer Standardauthentifizierung ausgestattet sind, da sie für die Verwendung innerhalb des Netzwerks einer Organisation konzipiert sind und nicht ohne triftigen Grund dem Internet ausgesetzt werden sollten.
Es gibt jedoch Fälle, in denen Administratoren sie versehentlich offenlegen oder falsche Konfigurationen vornehmen – was dazu führt, dass Bedrohungsakteure sie für ihre Zwecke ausnutzen. Dasselbe passiert in diesem Fall, da Bedrohungsakteure, die die offengelegten Redis-Server ausnutzen, den „ befehligen und steuern Sie sie aus der Ferne.
Diese Funktion ermöglicht ihnen auch die Installation von HeadCrab – einer relativ neuen Schadsoftware, die sich im Systemspeicher infizierter Server installiert. Es löscht alle Protokolle und kommuniziert nur mit Servern, die von Hackern kontrolliert werden. Und da es sich dabei um die anderen Redis-Server im Netzwerk handelt, werden sie von Sicherheitslösungen häufig nicht erkannt.
Darüber hinaus stellten die Forscher fest, dass die Nutzlast dieser Operation in Nur-Speicher-Dateien installiert wurde, wodurch vermieden wurde, in der Antivirensoftware auf die schwarze Liste gesetzt zu werden. Alle diese kompromittierten Server werden dann zu einem Botnetz für das Krypto-Mining zusammengeschlossen: insbesondere Monero.
Die Forscher stellten fest, dass die mit diesem Botnet-Betrieb verknüpfte Monero-Wallet einen Jahresgewinn von 4.500 US-Dollar für jeden Arbeiter auswies – einfach erstaunlich, wenn man es mit dem üblichen Verdienst von 200 US-Dollar pro Arbeiter in ähnlichen Betrieben vergleicht.
