Aggiornamenti recenti Febbraio 14th, 2025 9:10 AM
Giu 26, 2024 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0
I ricercatori di Cado Security hanno scoperto che il malware P2Pinfect, utilizzato per creare botnet, si è evoluto per distribuire un ransomware e un cryptominer tra i dispositivi infetti.
Il malware, attivo almeno da giugno 2023, sfrutta le feature di replicazione di Redis per distribuirsi tra i nodi di un cluster: una volta infettato un nodo leader, si collega a nodi follower che sono repliche esatte del leader, così che l’attaccante possa inviare comandi da far eseguire alle macchine. Poiché P2Pinfect è un worm, tutti i nodi infetti scansionano la rete per trovare nuovi sever da infettare.
Pixabay
Il malware dispone anche di un password sprayer SSH che tenta di aggiornare la configurazione SSH, cambiare la password di altri utenti ed eseguire la privilege escalation, anche se, spiegano i ricercatori, il tasso di successo di questo attacco è molto più basso di quello che sfrutta Redis.
“La botnet è la caratteristica più rilevante di P2Pinfect” spiegano ricercatori. “Come suggerisce il nome, si tratta di una botnet peer-to-peer, in cui ogni macchina infetta agisce come un nodo della rete e mantiene una connessione con diversi altri nodi“.
Una volta creata la rete di nodi, gli attaccanti possono distribuire payload malevoli sfruttando la comunicazione peer-to-peer: il meccanismo notifica ogni componente della rete finché il messaggio non è arrivato a tutti. Quando un nuovo nodo si aggiunge alla rete, i comandi e i messaggi ancora validi vengono condivisi col nuovo peer.
Gli attaccanti dietro P2Pinfect hanno aggiornato il malware e offuscato il codice, rendendo più difficile l’analisi statica. Le novità più interessanti riguardano però l’esecuzione di un binario relativo a un miner, precedentemente non utilizzato, e il download di un payload relativo a un ransomware.
I ricercatori di Cado Security non sono riusciti a scoprire con esattezza il processo crittografico, ma è probabile che gli attaccanti utilizzino una chiave pubblica per cifrare sia i file che la chiave privata, aggiungendo poi la chiave pubblica alla nota di riscatto. “Ciò permette agli attaccanti di decifrare la chiave privata e darla all’utente dopo il pagamento, senza includere secret o dettagli sul server C2 sulla macchina client“.
Non è chiaro quanto gli attaccanti siano riusciti a guadagnare col ransomware ma, dal momento che si tratta di una campagna opportunistica e senza un target specifico, è probabile che il riscatto richiesto non sia elevato. Grazie al miner, invece, gli attaccanti sono riusciti a guadagnare circa 71 XMR (monero), l’equivalente di 9.660 sterline (circa 11.440 euro).
Pixabay
Il team di Cado Security ha ipotizzato che P2Pinfect possa essere una “botnet-for-hire”, ovvero un servizio a pagamento per chiunque voglia eseguire questo tipo di attacchi, e che possa essere estesa con nuove funzionalità come nel caso del miner e del ransomware; al momento però non ci sono abbastanza prove per affermarlo con certezza.
I ricercatori sottolineano che P2Pinfect ha infettato molti server Redis e che gli ultimi aggiornamenti lo rendono una minaccia significativa. L’aggiunta del miner e del ransomware sono un chiaro segno che gli attaccanti stanno lavorando per perfezionare il malware, rendendolo sempre più pericoloso e difficile da fermare.
Feb 12, 2025 0
Feb 10, 2025 0
Feb 10, 2025 0
Feb 03, 2025 0
Feb 14, 2025 0
Feb 13, 2025 0
Feb 11, 2025 0
Feb 07, 2025 0
Feb 13, 2025 0
Ieri Microsoft ha pubblicato un’approfondita analisi...Gen 30, 2025 0
Quando si parla di dati e di privacy, gli utenti si dicono...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Gen 15, 2025 0
Gli ultimi giorni dell’anno sono da sempre...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Feb 14, 2025 0
DNSperf, servizio indipendente per la misurazione delle...Feb 13, 2025 0
Ieri Microsoft ha pubblicato un’approfondita analisi...Feb 12, 2025 0
La polizia thailandese ha arrestato quattro hacker europei...Feb 11, 2025 0
Ieri Apple ha rilasciato un fix urgente per un bug...Feb 10, 2025 0
La scorsa settimana Brave ha annunciato l’arrivo dei...