Araştırmacıların bildirdiğine göre, binden fazla Redis sunucusuna HeadCrab adlı özel olarak oluşturulmuş kötü amaçlı yazılım bulaştı.
Kötü amaçlı yazılım uç noktaları oluşturdu (yeni sekmede açılır) gizlilik odaklı bir kripto para birimi ve bir bilgisayar korsanının favorisi olan Monero’yu benimseyin.
Aqua Security’den Nautilus’tan siber güvenlik, son bir buçuk yılda virüs bulaşan 1.200 Redis sunucusunu kapsayan bir botnet keşfetti. Sunucular ABD, İngiltere, Almanya, Hindistan, Malezya, Çin ve diğer ülkelerde yer almaktadır ve Redis sunucuları olmanın yanı sıra başka bağlantıları yoktur.
Kimlik doğrulama varsayılan olarak kapalı
Araştırmacı Asaf Eitani ve Nitzan Yaakov, “Kurbanların çok az ortak noktası var gibi görünüyor, ancak saldırganın esas olarak Redis sunucularını hedeflediği ve kötü amaçlı yazılımın da gösterdiği gibi Redis modülleri ve API’leri konusunda derin bir anlayışa ve uzmanlığa sahip olduğu görülüyor” dedi.
Görünüşe göre, açık kaynaklı Redis veri tabanı sunucularının varsayılan olarak kimlik doğrulaması kapalı, bu da tehdit aktörlerinin bunlara erişmesine ve bir kullanıcı olarak kimlik doğrulaması yapmasına gerek kalmadan uzaktan kod yürütmesine izin veriyor. Görünüşe göre, birçok Redis kullanıcısı, kimlik doğrulama özelliğini açmayı unutarak uç noktalarını saldırganlara açık hale getiriyor.
Dahası, Redis kümeleri veri çoğaltma ve senkronizasyon için ana ve bağımlı sunucuları kullanır, bu da saldırganların varsayılan SLAVEOF komutunu kullanmalarına ve hedef uç noktayı halihazırda kontrol ettikleri bir Redis sunucusuna bağımlı olarak ayarlamalarına olanak tanır. Bu, HeadCrab kötü amaçlı yazılımını dağıtmalarına olanak tanır.
Araştırmacılar, kampanyanın arkasında kimin saklandığını bilmiyorlar, ancak kripto para cüzdanlarına baktıklarında, virüslü cihaz başına yılda yaklaşık 4.500 dolar kazandırdıkları sonucuna vardılar.
Araştırmacılar, “Saldırganın, saldırılarının gizliliğini sağlamak için büyük çaba sarf ettiğini fark ettik” diye ekledi.
Monero, cryptojacking yapan bilgisayar korsanları arasında tartışmasız en popüler kripto para birimidir. Yıllar boyunca, popüler bir Monero madencisi olan XMRig’i dünyanın dört bir yanındaki sunuculara ve veri merkezlerine yerleştiren, kurbanlara büyük elektrik faturaları toplayan ve bu arada sunucularını neredeyse işe yaramaz hale getiren sayısız suçlu raporu vardı.
Aracılığıyla: Kayıt (yeni sekmede açılır)