Aggiornamenti recenti Giugno 29th, 2024 12:32 PM
Giu 26, 2024 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0
I ricercatori di Cado Security hanno scoperto che il malware P2Pinfect, utilizzato per creare botnet, si è evoluto per distribuire un ransomware e un cryptominer tra i dispositivi infetti.
Il malware, attivo almeno da giugno 2023, sfrutta le feature di replicazione di Redis per distribuirsi tra i nodi di un cluster: una volta infettato un nodo leader, si collega a nodi follower che sono repliche esatte del leader, così che l’attaccante possa inviare comandi da far eseguire alle macchine. Poiché P2Pinfect è un worm, tutti i nodi infetti scansionano la rete per trovare nuovi sever da infettare.
Il malware dispone anche di un password sprayer SSH che tenta di aggiornare la configurazione SSH, cambiare la password di altri utenti ed eseguire la privilege escalation, anche se, spiegano i ricercatori, il tasso di successo di questo attacco è molto più basso di quello che sfrutta Redis.
“La botnet è la caratteristica più rilevante di P2Pinfect” spiegano ricercatori. “Come suggerisce il nome, si tratta di una botnet peer-to-peer, in cui ogni macchina infetta agisce come un nodo della rete e mantiene una connessione con diversi altri nodi“.
Una volta creata la rete di nodi, gli attaccanti possono distribuire payload malevoli sfruttando la comunicazione peer-to-peer: il meccanismo notifica ogni componente della rete finché il messaggio non è arrivato a tutti. Quando un nuovo nodo si aggiunge alla rete, i comandi e i messaggi ancora validi vengono condivisi col nuovo peer.
Gli attaccanti dietro P2Pinfect hanno aggiornato il malware e offuscato il codice, rendendo più difficile l’analisi statica. Le novità più interessanti riguardano però l’esecuzione di un binario relativo a un miner, precedentemente non utilizzato, e il download di un payload relativo a un ransomware.
I ricercatori di Cado Security non sono riusciti a scoprire con esattezza il processo crittografico, ma è probabile che gli attaccanti utilizzino una chiave pubblica per cifrare sia i file che la chiave privata, aggiungendo poi la chiave pubblica alla nota di riscatto. “Ciò permette agli attaccanti di decifrare la chiave privata e darla all’utente dopo il pagamento, senza includere secret o dettagli sul server C2 sulla macchina client“.
Non è chiaro quanto gli attaccanti siano riusciti a guadagnare col ransomware ma, dal momento che si tratta di una campagna opportunistica e senza un target specifico, è probabile che il riscatto richiesto non sia elevato. Grazie al miner, invece, gli attaccanti sono riusciti a guadagnare circa 71 XMR (monero), l’equivalente di 9.660 sterline (circa 11.440 euro).
Il team di Cado Security ha ipotizzato che P2Pinfect possa essere una “botnet-for-hire”, ovvero un servizio a pagamento per chiunque voglia eseguire questo tipo di attacchi, e che possa essere estesa con nuove funzionalità come nel caso del miner e del ransomware; al momento però non ci sono abbastanza prove per affermarlo con certezza.
I ricercatori sottolineano che P2Pinfect ha infettato molti server Redis e che gli ultimi aggiornamenti lo rendono una minaccia significativa. L’aggiunta del miner e del ransomware sono un chiaro segno che gli attaccanti stanno lavorando per perfezionare il malware, rendendolo sempre più pericoloso e difficile da fermare.
Giu 26, 2024 0
Giu 24, 2024 0
Giu 24, 2024 0
Giu 21, 2024 0
Giu 29, 2024 0
Giu 28, 2024 0
Giu 28, 2024 0
Giu 27, 2024 0
Giu 26, 2024 0
Se c’è un concetto che abbiamo sentito ripetere decine...Giu 25, 2024 0
Google ha annunciato Project Naptime, un framework che...Giu 24, 2024 0
Le industrie regolamentate, cioè appartenenti a settori...Giu 24, 2024 0
Elena Accardi ricopre il ruolo di Country Manager di...Giu 21, 2024 0
L’ultimo Ransomware Trends Report di Veeam evidenzia...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Giu 29, 2024 0
TeamViewer è un software noto per facilitare...Giu 28, 2024 0
Il 52% dei progetti open-source più “critici”...Giu 28, 2024 0
Una nuova vulnerabilità di MOVEit Transfer sta venendo...Giu 27, 2024 0
Se state usando polyfill.io nel vostro sito web, dovete...Giu 26, 2024 0
Il gruppo dietro il ransomware LockBit ha dichiarato di...