Aggiornamenti recenti Novembre 6th, 2024 10:30 AM
Giu 26, 2024 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0
I ricercatori di Cado Security hanno scoperto che il malware P2Pinfect, utilizzato per creare botnet, si è evoluto per distribuire un ransomware e un cryptominer tra i dispositivi infetti.
Il malware, attivo almeno da giugno 2023, sfrutta le feature di replicazione di Redis per distribuirsi tra i nodi di un cluster: una volta infettato un nodo leader, si collega a nodi follower che sono repliche esatte del leader, così che l’attaccante possa inviare comandi da far eseguire alle macchine. Poiché P2Pinfect è un worm, tutti i nodi infetti scansionano la rete per trovare nuovi sever da infettare.
Il malware dispone anche di un password sprayer SSH che tenta di aggiornare la configurazione SSH, cambiare la password di altri utenti ed eseguire la privilege escalation, anche se, spiegano i ricercatori, il tasso di successo di questo attacco è molto più basso di quello che sfrutta Redis.
“La botnet è la caratteristica più rilevante di P2Pinfect” spiegano ricercatori. “Come suggerisce il nome, si tratta di una botnet peer-to-peer, in cui ogni macchina infetta agisce come un nodo della rete e mantiene una connessione con diversi altri nodi“.
Una volta creata la rete di nodi, gli attaccanti possono distribuire payload malevoli sfruttando la comunicazione peer-to-peer: il meccanismo notifica ogni componente della rete finché il messaggio non è arrivato a tutti. Quando un nuovo nodo si aggiunge alla rete, i comandi e i messaggi ancora validi vengono condivisi col nuovo peer.
Gli attaccanti dietro P2Pinfect hanno aggiornato il malware e offuscato il codice, rendendo più difficile l’analisi statica. Le novità più interessanti riguardano però l’esecuzione di un binario relativo a un miner, precedentemente non utilizzato, e il download di un payload relativo a un ransomware.
I ricercatori di Cado Security non sono riusciti a scoprire con esattezza il processo crittografico, ma è probabile che gli attaccanti utilizzino una chiave pubblica per cifrare sia i file che la chiave privata, aggiungendo poi la chiave pubblica alla nota di riscatto. “Ciò permette agli attaccanti di decifrare la chiave privata e darla all’utente dopo il pagamento, senza includere secret o dettagli sul server C2 sulla macchina client“.
Non è chiaro quanto gli attaccanti siano riusciti a guadagnare col ransomware ma, dal momento che si tratta di una campagna opportunistica e senza un target specifico, è probabile che il riscatto richiesto non sia elevato. Grazie al miner, invece, gli attaccanti sono riusciti a guadagnare circa 71 XMR (monero), l’equivalente di 9.660 sterline (circa 11.440 euro).
Il team di Cado Security ha ipotizzato che P2Pinfect possa essere una “botnet-for-hire”, ovvero un servizio a pagamento per chiunque voglia eseguire questo tipo di attacchi, e che possa essere estesa con nuove funzionalità come nel caso del miner e del ransomware; al momento però non ci sono abbastanza prove per affermarlo con certezza.
I ricercatori sottolineano che P2Pinfect ha infettato molti server Redis e che gli ultimi aggiornamenti lo rendono una minaccia significativa. L’aggiunta del miner e del ransomware sono un chiaro segno che gli attaccanti stanno lavorando per perfezionare il malware, rendendolo sempre più pericoloso e difficile da fermare.
Nov 06, 2024 0
Nov 04, 2024 0
Ott 28, 2024 0
Ott 28, 2024 0
Nov 05, 2024 0
Nov 04, 2024 0
Ott 31, 2024 0
Ott 30, 2024 0
Nov 05, 2024 0
I FortiGuard Labs di Fortinet hanno individuato attività...Nov 04, 2024 0
Era già successo durante le ultime elezioni e sta...Ott 31, 2024 0
Oltre 200 applicazioni dannose che contano più di 8...Ott 29, 2024 0
Il 25 ottobre si è concluso il quarto e ultimo giorno di...Ott 25, 2024 0
Se in passato il tracciamento digitale era considerata una...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 06, 2024 0
Il team di Unit 42 di Palo Alto Networks ha...Nov 05, 2024 0
I FortiGuard Labs di Fortinet hanno individuato attività...Nov 04, 2024 0
Era già successo durante le ultime elezioni e sta...Nov 04, 2024 0
Questa settimana, il CERT-AGID ha analizzato 59 campagne...Ott 31, 2024 0
Oltre 200 applicazioni dannose che contano più di 8...