Το P2PInfect, ένα peer-to-peer malware botnet, έχει αναπτύξει ένα νέο ransomware module και ένα cryptominer για την πραγματοποίηση επιθέσεων σε διακομιστές Redis.
Σύμφωνα με την Cado Security, η οποία παρακολουθεί το P2PInfect, υπάρχουν ενδείξεις ότι το κακόβουλο λογισμικό λειτουργεί ως “botnet for hire“, αν και δεν είναι εύκολο να βγουν ακριβή συμπεράσματα αυτή τη στιγμή.
P2PInfect botnet
Το P2PInfect εντοπίστηκε και αναλύθηκε για πρώτη φορά τον Ιούλιο του 2023 από ερευνητές της Unit 42. Στόχευε Redis servers χρησιμοποιώντας γνωστές ευπάθειες ασφαλείας.
Αργότερα, η Cado Security μελέτησε το malware botnet και αποκάλυψε ότι χρησιμοποιούνταν ένα Redis replication feature για την εξάπλωσή του.
Μεταξύ Αυγούστου και Σεπτεμβρίου 2023, παρατηρήθηκε αυξημένη δραστηριότητα του P2PInfect, ενώ εισήχθησαν νέες χρήσιμες δυνατότητες, όπως μηχανισμοί persistence, συστήματα εναλλακτικής επικοινωνίας και SSH lockout. Ωστόσο, παρά την αυξημένη δραστηριότητα, το P2PInfect botnet δεν εκτέλεσε κακόβουλες ενέργειες στα παραβιασμένα συστήματα. Γι’ αυτό το λόγο, οι ερευνητές δεν είναι σίγουροι για τα κίνητρα των επιτιθέμενων.
Δείτε επίσης: Το botnet Muhstik εκμεταλλεύεται ευπάθεια στο Apache RocketMQ
Τον Δεκέμβριο του 2023, ανακαλύφθηκε μια νέα παραλλαγή του P2PInfect από αναλυτές της Cado, η οποία σχεδιάστηκε για να στοχεύει επεξεργαστές 32-bit MIPS (Μικροεπεξεργαστής χωρίς Interlocked Pipelined Stage) που βρίσκονται σε routers και συσκευές IoT.
P2PInfect botnet: Νέα ransomware, cryptominer modules, ασαφείς στόχοι
Η Cado αναφέρει ότι από τις 16 Μαΐου 2024, οι συσκευές που έχουν μολυνθεί με το P2PInfect έλαβαν μια εντολή λήψης και εκτέλεσης ενός ransomware payload (rsagen) από μια καθορισμένη διεύθυνση URL.
Κατά την εκκίνηση, το ransomware binary ελέγχει για την ύπαρξη σημειώματος λύτρων (“Your data has been locked!.txt”) για να αποφύγει την εκ νέου κρυπτογράφηση παραβιασμένων συστημάτων.
Το ransomware στοχεύει αρχεία με συγκεκριμένες επεκτάσεις που σχετίζονται με βάσεις δεδομένων (SQL, SQLITE3, DB), έγγραφα (DOC, XLS) και αρχεία πολυμέσων (MP3, WAV, MKV) και προσθέτει την επέκταση «.encrypted» στα αρχεία που προκύπτουν.
Το ransomware εξαπλώνεται σε όλους τους καταλόγους, κρυπτογραφώντας αρχεία και αποθηκεύοντας μια βάση δεδομένων κρυπτογραφημένων αρχείων σε ένα προσωρινό αρχείο με την επέκταση «.lockedfiles».
Δείτε επίσης: Το Botnet Pumpkin Eclipse κατέστρεψε 600.000 δρομολογητές
Το δεύτερο νέο module, το XMR (Monero) miner, εγκαθίσταται σε έναν προσωρινό κατάλογο και εκκινείται πέντε λεπτά μετά την έναρξη του κύριου payload.
Το προδιαμορφωμένο πορτοφόλι και το mining pool στα δείγματα, που εξετάστηκαν, έχει μέχρι στιγμής 71 XMR, που είναι περίπου 10.000 $, αλλά οι ερευνητές λένε ότι οι χειριστές του P2PInfect botnet μπορεί να χρησιμοποιούν επιπλέον διευθύνσεις πορτοφολιού.
Ένα ιδιαίτερο χαρακτηριστικό του νέου P2PInfect είναι ότι το miner έχει ρυθμιστεί να χρησιμοποιεί όλη τη διαθέσιμη επεξεργαστική ισχύ, συχνά παρεμποδίζοντας τη λειτουργία του ransomware module.
Επιπλέον, υπάρχει ένα νέο user-mode rootkit που επιτρέπει στα P2PInfect bots να κρύβουν τις κακόβουλες διεργασίες και τα αρχεία τους από τα εργαλεία ασφαλείας, παραβιάζοντας πολλαπλές διεργασίες.
Η έρευνα της Cado Security δείχνει ξεκάθαρα ότι το P2PInfect botnet αποτελεί μια πραγματική απειλή για τους Redis servers, με τα νέα ransomware και cryptominer modules.
Προστασία από malware botnet
Για να προστατευτείτε από το P2PInfect και άλλα Botnet, είναι σημαντικό να διατηρείτε το λογισμικό και το λειτουργικό σύστημα της συσκευής σας ενημερωμένα. Οι επιθέσεις botnet συχνά εκμεταλλεύονται γνωστές ευπάθειες.
Επιπλέον, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα ασφάλειας που παρέχει προστασία από malware και botnets. Αυτό θα πρέπει να περιλαμβάνει την πραγματοποίηση τακτικών σαρώσεων για την ανίχνευση και την απομάκρυνση τυχόν επιθέσεων.
Δείτε επίσης: Η αμερικανική κυβέρνηση επιβάλει κυρώσεις στους hackers του botnet 911 S5
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι άλλος ένας τρόπος για να προστατευθείτε από το Botnet (π.χ. P2PInfect). Οι επιθέσεις botnet συχνά προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης, οπότε η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία των λογαριασμών σας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους οι επιθέσεις botnet λειτουργούν και των τεχνικών που χρησιμοποιούν μπορεί να σας βοηθήσει να αναγνωρίσετε και να αποφύγετε τις επιθέσεις.
Πηγή: www.bleepingcomputer.com
