Un botnet de malware conocido como P2PInfect ha sido descubierto atacando servidores Redis con ransomware y mineros de criptomonedas. Este desarrollo marca la transición de la amenaza hacia una operación con un claro fin financiero.
Cado Security declaró en un informe que el autor del malware continúa actualizando el minero de criptomonedas, el payload de ransomware y los elementos del rootkit para obtener beneficios ilícitos y expandir la red.
P2PInfect salió a la luz hace casi un año y desde entonces ha recibido actualizaciones para atacar arquitecturas MIPS y ARM. A principios de enero, Nozomi Networks descubrió el uso del malware para distribuir cargas útiles mineras.
El malware se propaga atacando servidores Redis para transformar los sistemas de las víctimas en un nodo seguidor del servidor controlado por el atacante. Además, cuenta con la capacidad de escanear internet en busca de servidores más vulnerables y de intentar iniciar sesión usando contraseñas comunes.
El botnet forma una red de malla enorme, y el autor del malware la usa para distribuir binarios actualizados a través de la red, a través de un mecanismo de rumores. P2PInfect deja caer cargas útiles mineras y de ransomware, cifra archivos y entrega una nota de rescate instando a las víctimas a pagar 1 XMR (~$165).
El malware utiliza un rootkit en modo de usuario para ocultar sus procesos y archivos maliciosos de las herramientas de seguridad. Se sospecha que P2PInfect se anuncia como un servicio de alquiler de botnets.
La divulgación sigue a las revelaciones del Centro de Inteligencia de Seguridad de AhnLab (ASEC) de que servidores web vulnerables están siendo atacados por presuntos actores de amenazas de habla china para desplegar mineros de criptomonedas. También se señala que botnets como UNSTABLE, Condi y Skibidi abusan de servicios legítimos de almacenamiento en la nube y operadores de servicios informáticos para distribuir cargas útiles de malware y actualizaciones a una amplia gama de dispositivos.
Vía The Hacker News
