- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 10м
- Сделки
- 251
- Нарушения
- 0 / 0
Злоумышленники, стоящие за созданием ботнета, воспользовались уязвимостью серверов Redis: на них по умолчанию не включена аутентификация. Однако они предназначены для использования в сети организации и вообще не должны иметь доступа в Интернет.
Таким образом, вина в распространении вредоноса во многом лежит на администраторах, обслуживающих сервера. Потому что если случайно или намеренно настроить сервера так, чтобы они были доступны для подключения из Интернета, злоумышленники могут легко скомпрометировать и захватить их с помощью своих вредоносных инструментов.
После установки и запуска HeadCrab предоставляет злоумышленникам все возможности, необходимые для получения полного контроля над целевым сервером и добавления его в свою ботнет-сеть криптомайнинга.
Также HeadCrab делает всё возможное, чтобы избежать обнаружения. Вот, что говорят исследователи по этому поводу: «Вредоносная программа основана на процессах Redis, которые вряд ли будут помечены как вредоносные. Полезная нагрузка загружается через memfd непосредственно в оперативную память сервера, избегая записи на диск».
Анализируя вредоносное ПО, исследователи также обнаружили, что злоумышленники в основном используют пулы майнинга, размещенные на ранее скомпрометированных серверах, чтобы усложнить атрибуцию и обнаружение.
Кроме того, по статистике криптокошелька Monero, связанного с этим ботнетом, злоумышленники получают годовую прибыль в размере около 4500 долларов с одного устройства, что намного выше, чем обычные 200 долларов на рядовых компьютерах.
Для защиты своих серверов Redis администраторам рекомендуется убедиться, что доступ имеют только клиенты в пределах сети, отключить функцию «slaveof», если она не используется, и включить защищенный режим.
