Se ha descubierto que la botnet de malware peer-to-peer conocida como P2PInfect apunta a servidores Redis mal configurados con ransomware y mineros de criptomonedas. El desarrollo marca la transición de la amenaza de lo que parecía ser una botnet inactiva con motivos poco claros a una operación con motivación financiera. «Con sus últimas actualizaciones del cripto minero, la carga útil del ransomware y los elementos del rootkit, demuestra los continuos esfuerzos del autor del malware para sacar provecho de su acceso ilícito y difundir aún más la red, mientras continúa invadiendo Internet», dijo Cado Security en un informe publicado esta semana. P2PInfect salió a la luz hace casi un año y desde entonces ha recibido actualizaciones para arquitecturas MIPS y ARM. A principios de enero, Nozomi Networks descubrió el uso del malware para entregar cargas útiles a los mineros. Por lo general, se propaga apuntando a los servidores Redis y su función de replicación para transformar los sistemas víctimas en un nodo seguidor del servidor controlado por el atacante, permitiéndole posteriormente emitirles comandos arbitrarios. El gusano basado en Rust también presenta la capacidad de escanear Internet en busca de servidores más vulnerables, sin mencionar la incorporación de un módulo de distribución de contraseñas SSH que intenta iniciar sesión utilizando contraseñas comunes. Además de tomar medidas para evitar que otros atacantes apunten al mismo servidor, se sabe que P2PInfect cambia las contraseñas de otros usuarios, reinicia el servicio SSH con permisos de root e incluso realiza una escalada de privilegios. «Como sugiere el nombre, es una botnet peer-to-peer, donde cada máquina infectada actúa como un nodo en la red y mantiene una conexión con varios otros nodos», dijo el investigador de seguridad Nate Bill. «Esto da como resultado que la botnet forme una enorme red de malla, que el autor del malware utiliza para enviar archivos binarios actualizados a través de la red, a través de un mecanismo de chismes. El autor simplemente necesita notificar a un par, y este informará a todos sus pares y y así sucesivamente hasta que el nuevo binario se propague por completo a través de la red». Entre los nuevos cambios de comportamiento de P2PInfect se incluye el uso del malware para eliminar cargas útiles de mineros y ransomware, el último de los cuales está diseñado para cifrar archivos que coinciden con ciertas extensiones de archivo y entregar una nota de rescate instando a las víctimas a pagar 1 XMR (~$165). «Como se trata de un ataque oportunista y no dirigido, es probable que las víctimas sean de bajo valor, por lo que es de esperar un precio bajo», señaló Bill. También es de destacar un nuevo rootkit en modo de usuario que utiliza la variable de entorno LD_PRELOAD para ocultar sus procesos y archivos maliciosos de las herramientas de seguridad, una técnica también adoptada por otros grupos de criptojacking como TeamTNT. Se sospecha que P2PInfect se anuncia como un servicio de botnet de alquiler, que actúa como un conducto para desplegar las cargas útiles de otros atacantes a cambio de un pago. Esta teoría se ve reforzada por el hecho de que las direcciones de billetera para el minero y el ransomware son diferentes, y que el proceso minero está configurado para consumir la mayor potencia de procesamiento posible, lo que interfiere con el funcionamiento del ransomware. «La elección de una carga útil de ransomware para malware dirigido principalmente a un servidor que almacena datos efímeros en memoria es extraña, y P2Pinfect probablemente obtendrá muchas más ganancias de su minero que de su ransomware debido a la cantidad limitada de archivos de bajo valor que contiene. puede acceder debido a su nivel de permiso», dijo Bill. «La introducción del rootkit en modo de usuario es una adición ‘buena en el papel’ al malware. Si el acceso inicial es Redis, el rootkit en modo de usuario también será completamente ineficaz ya que sólo puede agregar la precarga para la cuenta de servicio de Redis, que otros usuarios probablemente no iniciará sesión como.» La divulgación sigue a las revelaciones del Centro de Inteligencia de Seguridad de AhnLab (ASEC) de que servidores web vulnerables que tienen fallas sin parchear o están mal protegidos están siendo atacados por presuntos actores de amenazas de habla china para implementar criptomineros. «El control remoto se facilita a través de shells web instalados y NetCat, y dada la instalación de herramientas proxy destinadas al acceso RDP, la filtración de datos por parte de los actores de amenazas es una clara posibilidad», dijo ASEC, destacando el uso de Behinder, China Chopper, Godzilla, BadPotato, cpolar y RingQ. También se produce cuando Fortinet FortiGuard Labs señaló que botnets como UNSTABLE, Condi y Skibidi están abusando de operadores legítimos de servicios informáticos y de almacenamiento en la nube para distribuir cargas útiles de malware y actualizaciones a una amplia gama de dispositivos. «Usar servidores en la nube para [command-and-control] «Las operaciones garantizan una comunicación persistente con los dispositivos comprometidos, lo que dificulta que los defensores interrumpan un ataque», dijeron los investigadores de seguridad Cara Lin y Vincent Li. ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.