02.02.2024 | HeadCrab 2.0: меньше следов на диске, больше криптовалюты в кармане хакеров |
Несколько дней назад исследователи из компании Aqua Security опубликовали данные об обновлённой версии вредоносной программы HeadCrab, которая с сентября 2021 года атакует серверы баз данных Redis по всему миру. О появлении обновлённого вредоноса стало известно ровно через год после первого публичного описания HeadCrab. Эксперты Aqua Security сообщили, что за прошедшее время кампания по заражению серверов Redis почти удвоилась — теперь количество скомпрометированных систем достигло 2300. Для сравнения: в начале 2023 года фиксировалось около 1200 инфицированных хостов. Вредонос HeadCrab был разработан специально для проникновения в открытые сети Redis и использования их вычислительных мощностей для незаконной добычи криптовалюты. Помимо этого, злоумышленники получают доступ к заражённым машинам для выполнения произвольных команд, загрузки бесфайловых модулей в ядро ОС и эксфильтрации данных. Несмотря на масштаб кампании, личности преступников пока не установлены. Примечательно, что в саму программу HeadCrab встроен мини-блог, в котором злоумышленники делятся новостями о себе и своём вредоносе. Там хакеры сообщают о том, что их деятельность хоть и можно назвать паразитической, тем не менее, она не вредит людям. В качестве цели злоумышленники сообщили о желании зарабатывать на майнинге $15 000 в год (~115 тысяч рублей в месяц). В HeadCrab 2.0 используются усложнённые методы сокрытия вредоносной активности. В отличие от первой версии, теперь для развёртывания вредоноса применяется бесфайловая загрузка, что снижает количество следов в файловой системе и затрудняет анализ. Также был изменён протокол связи с командным сервером — вместо отдельных команд теперь используется стандартная команда Redis MGET. Это позволяет маскировать трафик под легитимный. По мнению исследователей Aqua Security, HeadCrab 2.0 демонстрирует значительное усложнение механизмов сокрытия атаки по сравнению с первой версией. Это создаёт дополнительные трудности для систем обнаружения на базе поведенческого анализа. Такая эволюция вредоносного ПО требует постоянного совершенствования инструментов защиты и выявления новых угроз. Крайне важно непрерывно отслеживать подобные кампании, собирать и анализировать телеметрию для своевременного обнаружения модифицированных версий. Защитить серверы Redis можно с помощью регулярного обновления ПО, ограничения доступа извне, анализа трафика и журналов на предмет вредоносной активности. Лишь комплексный подход позволит существенно снизить риски заражения. |
Проверить безопасность сайта