Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
P2Pinfect evolve e distribuisce un ransomware e un cryptominer
I ricercatori di Cado Security hanno scoperto che il malware P2Pinfect, utilizzato per creare botnet, si è evoluto per distribuire un ransomware e un cryptominer tra i dispositivi infetti.
Il malware, attivo almeno da giugno 2023, sfrutta le feature di replicazione di Redis per distribuirsi tra i nodi di un cluster: una volta infettato un nodo leader, si collega a nodi follower che sono repliche esatte del leader, così che l’attaccante possa inviare comandi da far eseguire alle macchine. Poiché P2Pinfect è un worm, tutti i nodi infetti scansionano la rete per trovare nuovi sever da infettare.
Pixabay
Il malware dispone anche di un password sprayer SSH che tenta di aggiornare la configurazione SSH, cambiare la password di altri utenti ed eseguire la privilege escalation, anche se, spiegano i ricercatori, il tasso di successo di questo attacco è molto più basso di quello che sfrutta Redis.
“La botnet è la caratteristica più rilevante di P2Pinfect” spiegano ricercatori. “Come suggerisce il nome, si tratta di una botnet peer-to-peer, in cui ogni macchina infetta agisce come un nodo della rete e mantiene una connessione con diversi altri nodi“.
Una volta creata la rete di nodi, gli attaccanti possono distribuire payload malevoli sfruttando la comunicazione peer-to-peer: il meccanismo notifica ogni componente della rete finché il messaggio non è arrivato a tutti. Quando un nuovo nodo si aggiunge alla rete, i comandi e i messaggi ancora validi vengono condivisi col nuovo peer.
L’evoluzione di P2Pinfect
Gli attaccanti dietro P2Pinfect hanno aggiornato il malware e offuscato il codice, rendendo più difficile l’analisi statica. Le novità più interessanti riguardano però l’esecuzione di un binario relativo a un miner, precedentemente non utilizzato, e il download di un payload relativo a un ransomware.
I ricercatori di Cado Security non sono riusciti a scoprire con esattezza il processo crittografico, ma è probabile che gli attaccanti utilizzino una chiave pubblica per cifrare sia i file che la chiave privata, aggiungendo poi la chiave pubblica alla nota di riscatto. “Ciò permette agli attaccanti di decifrare la chiave privata e darla all’utente dopo il pagamento, senza includere secret o dettagli sul server C2 sulla macchina client“.
Non è chiaro quanto gli attaccanti siano riusciti a guadagnare col ransomware ma, dal momento che si tratta di una campagna opportunistica e senza un target specifico, è probabile che il riscatto richiesto non sia elevato. Grazie al miner, invece, gli attaccanti sono riusciti a guadagnare circa 71 XMR (monero), l’equivalente di 9.660 sterline (circa 11.440 euro).
Pixabay
Il team di Cado Security ha ipotizzato che P2Pinfect possa essere una “botnet-for-hire”, ovvero un servizio a pagamento per chiunque voglia eseguire questo tipo di attacchi, e che possa essere estesa con nuove funzionalità come nel caso del miner e del ransomware; al momento però non ci sono abbastanza prove per affermarlo con certezza.
I ricercatori sottolineano che P2Pinfect ha infettato molti server Redis e che gli ultimi aggiornamenti lo rendono una minaccia significativa. L’aggiunta del miner e del ransomware sono un chiaro segno che gli attaccanti stanno lavorando per perfezionare il malware, rendendolo sempre più pericoloso e difficile da fermare.
Condividi l'articolo
Lockbit rivendica un breach alla banca centrale degli Stati Uniti, ma è una farsa
Google presenta Project Naptime per la ricerca delle vulnerabilità tramite IA
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
