Se ha descubierto que la botnet de malware peer-to-peer conocida como P2PInfect apunta a servidores Redis mal configurados con ransomware y mineros de criptomonedas.<\/p>\n
El desarrollo marca la transici\u00f3n de la amenaza de lo que parec\u00eda ser una botnet inactiva con motivos poco claros a una operaci\u00f3n con motivaci\u00f3n financiera.<\/p>\n
“Con sus \u00faltimas actualizaciones del cripto minero, la carga \u00fatil del ransomware y los elementos del rootkit, demuestra los continuos esfuerzos del autor del malware para sacar provecho de su acceso il\u00edcito y difundir a\u00fan m\u00e1s la red, mientras contin\u00faa invadiendo Internet”, Cado Security dicho<\/a> en un informe publicado esta semana.<\/p>\n P2PInfect sali\u00f3 a la luz hace casi un a\u00f1o y desde entonces ha recibido actualizaciones para atacar las arquitecturas MIPS y ARM. A principios de enero, Nozomi Networks descubri\u00f3 el uso del malware para distribuir cargas \u00fatiles de mineros.<\/p>\n Por lo general, se propaga apuntando a los servidores Redis y su funci\u00f3n de replicaci\u00f3n para transformar los sistemas v\u00edctimas en un nodo seguidor del servidor controlado por el atacante, permiti\u00e9ndole posteriormente emitirles comandos arbitrarios.<\/p>\n El gusano basado en Rust tambi\u00e9n presenta la capacidad de escanear Internet en busca de servidores m\u00e1s vulnerables, sin mencionar la incorporaci\u00f3n de un m\u00f3dulo de distribuci\u00f3n de contrase\u00f1as SSH que intenta iniciar sesi\u00f3n utilizando contrase\u00f1as comunes.<\/p>\n Adem\u00e1s de tomar medidas para evitar que otros atacantes apunten al mismo servidor, se sabe que P2PInfect cambia las contrase\u00f1as de otros usuarios, reinicia el servicio SSH con permisos de root e incluso realiza una escalada de privilegios.<\/p>\n “Como sugiere el nombre, es una botnet peer-to-peer, donde cada m\u00e1quina infectada act\u00faa como un nodo en la red y mantiene una conexi\u00f3n con varios otros nodos”, dijo el investigador de seguridad Nate Bill.<\/p>\n “Esto da como resultado que la botnet forme una enorme red de malla, que el autor del malware utiliza para enviar binarios actualizados a trav\u00e9s de la red, a trav\u00e9s de un mecanismo de chismes. El autor simplemente necesita notificar a un par, y este informar\u00e1 a todos sus pares y y as\u00ed sucesivamente hasta que el nuevo binario se propague por completo a trav\u00e9s de la red”.<\/p>\n Entre los nuevos cambios de comportamiento de P2PInfect se incluye el uso del malware para eliminar cargas \u00fatiles de mineros y ransomware, el \u00faltimo de los cuales est\u00e1 dise\u00f1ado para cifrar archivos que coinciden con ciertas extensiones de archivo y entregar una nota de rescate instando a las v\u00edctimas a pagar 1 XMR (~$165).<\/p>\n “Como se trata de un ataque oportunista y no dirigido, es probable que las v\u00edctimas sean de bajo valor, por lo que es de esperar un precio bajo”, se\u00f1al\u00f3 Bill.<\/p>\n Tambi\u00e9n es de destacar un nuevo rootkit de modo usuario que utiliza la variable de entorno LD_PRELOAD para ocultar sus procesos y archivos maliciosos de las herramientas de seguridad, una t\u00e9cnica tambi\u00e9n adoptada por otros grupos de cryptojacking como TeamTNT.<\/p>\n Se sospecha que P2PInfect se anuncia como un servicio de botnet de alquiler, que act\u00faa como un conducto para desplegar las cargas \u00fatiles de otros atacantes a cambio de un pago.<\/p>\n Esta teor\u00eda se ve reforzada por el hecho de que las direcciones de billetera para el minero y el ransomware son diferentes, y que el proceso minero est\u00e1 configurado para consumir la mayor potencia de procesamiento posible, lo que interfiere con el funcionamiento del ransomware.<\/p>\n “La elecci\u00f3n de una carga \u00fatil de ransomware para malware dirigido principalmente a un servidor que almacena datos ef\u00edmeros en memoria es extra\u00f1a, y P2Pinfect probablemente obtendr\u00e1 muchas m\u00e1s ganancias de su minero que de su ransomware debido a la cantidad limitada de archivos de bajo valor que contiene. puede acceder debido a su nivel de permiso”, dijo Bill.<\/p>\n “La introducci\u00f3n del rootkit en modo de usuario es una adici\u00f3n ‘buena en el papel’ al malware. Si el acceso inicial es Redis, el rootkit en modo de usuario tambi\u00e9n ser\u00e1 completamente ineficaz ya que s\u00f3lo puede agregar la precarga para la cuenta de servicio de Redis, que otros usuarios probablemente no iniciar\u00e1 sesi\u00f3n como.”<\/p>\n La divulgaci\u00f3n sigue a las revelaciones del Centro de Inteligencia de Seguridad de AhnLab (ASEC) de que servidores web vulnerables que tienen fallas sin parchear o est\u00e1n mal protegidos est\u00e1n siendo atacados por presuntos actores de amenazas de habla china para implementar criptomineros.<\/p>\n “El control remoto se facilita a trav\u00e9s de shells web instalados y NetCat, y dada la instalaci\u00f3n de herramientas proxy destinadas al acceso RDP, la filtraci\u00f3n de datos por parte de los actores de amenazas es una clara posibilidad”, ASEC dicho<\/a>destacando el uso de Behinder, China Chopper, Godzilla, BadPotato, cpolar y AnilloQ<\/a>.<\/p>\n Tambi\u00e9n se produce cuando Fortinet FortiGuard Labs se\u00f1al\u00f3 que botnets como UNSTABLE, Condi y Skibidi est\u00e1n abusando de operadores leg\u00edtimos de servicios inform\u00e1ticos y de almacenamiento en la nube para distribuir cargas \u00fatiles de malware y actualizaciones a una amplia gama de dispositivos.<\/p>\n “Usar servidores en la nube para [command-and-control] Las operaciones garantizan una comunicaci\u00f3n persistente con los dispositivos comprometidos, lo que dificulta que los defensores interrumpan un ataque”, afirman los investigadores de seguridad Cara Lin y Vincent Li. dicho<\/a>.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/La-botnet-P2PInfect-basada-en-Rust-evoluciona-con-cargas-utiles.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n