Вымогательство и подавление конкурентов: P2PInfect получил новый способ заражения Redis

Вредоносный ботнет P2PInfect начал активно атаковать неправильно настроенные серверы Redis, устанавливая вымогательское ПО и криптомайнеры, что свидетельствует о переходе субъекта угрозы от спящего состояния к финансово мотивированной операции.

По данным Cado Security, в последние обновления вредоносного ПО P2PInfect были добавлены новые элементы криптомайнера, вымогательского ПО и руткита. Это означает, что авторы P2PInfect стремятся извлечь выгоду из незаконного доступа к системам и расширить свою сеть.

Бот-сеть P2PInfect впервые была обнаружена в июле 2023 года и с тех пор получила обновления для поддержки архитектур MIPS и ARM. Затем P2PInfect стала доставлять криптомайнеры. P2PInfect распространяется, атакуя серверы Redis и используя их функцию репликации для превращения зараженных систем в подчиненные узлы, управляемые атакующим сервером.

Вредоносное ПО P2PInfect, написанное на языке программирования Rust, также умеет сканировать интернет в поисках уязвимых серверов и содержит SSH-модуль спрея паролей (password sprayer), который пытается войти в систему, используя распространенные пароли. Кроме того, P2PInfect принимает меры по предотвращению атак других злоумышленников, изменяя пароли пользователей, перезапуская сервис SSH с root-правами и повышая привилегии.

Каждый зараженный компьютер в сети P2PInfect действует как узел, поддерживая связь с несколькими другими узлами, что создает огромную сетевую структуру, позволяющую авторам вредоносного ПО быстро распространять обновления по всей сети.

Среди новых функциональных изменений P2PInfect стоит отметить установку вымогательского ПО, которое шифрует файлы с определенными расширениями и требует выкуп в размере 1 XMR (около $167). Также добавлен новый руткит уровня пользователя, который использует переменную среды LD_PRELOAD для скрытия вредоносных процессов и файлов от инструментов безопасности.

Также есть подозрения, что P2PInfect рекламируется как услуга «ботнет-по-найму» (Botnet-for-Hire, BfH), которая позволяет другим киберпреступникам разворачивать свои полезные нагрузки в обмен на оплату. Такой вывод подкрепляется тем, что адреса кошельков для майнера и вымогательского ПО различны, а процесс майнинга настроен на максимальное использование вычислительных ресурсов, что мешает работе вымогательского ПО.

Использование вымогательского ПО для атаки на серверы Redis, хранящих временные данные в памяти, кажется странным выбором. P2PInfect, вероятнее всего, получит больше прибыли от криптомайнинга, поскольку доступ к ценным файлам ограничен из-за уровня привилегий. С другой стороны, введение руткита уровня пользователя кажется хорошим дополнением к атаке. Однако, если начальный доступ осуществляется через Redis, руткит будет полностью неэффективен, так как он может добавить preload только для учетной записи службы Redis, под которой другие пользователи, скорее всего, не будут входить в систему.