P2PInfect, originalmente um botnet de malware P2P (peer-to-peer) inativo e com motivos incertos, finalmente foi ativado para implantar um módulo de ransomware e um cryptominer em ataques a servidores Redis.
De acordo com a Cado Security, que vem rastreando o P2PInfect há algum tempo, há evidências de que o malware funciona como um "botnet para alugar", embora informações conflitantes impeçam os pesquisadores de tirar conclusões seguras neste momento.
P2PInfect foi documentado pela primeira vez em julho de 2023 por pesquisadores da Unit 42, visando servidores Redis usando vulnerabilidades conhecidas.
A análise subsequente do malware pela Cado Security revelou que ele se aproveitava de um recurso de replicação do Redis para se espalhar.
Entre agosto e setembro de 2023, P2PInfect aumentou sua atividade para milhares de tentativas de invasão semanais, enquanto também introduzia novas funcionalidades como mecanismos de persistência baseados em cron, sistemas de comunicação de fallback e bloqueio de SSH.
Apesar dessa elevada atividade, P2PInfect não realizou nenhuma ação maliciosa nos sistemas comprometidos, portanto, seus objetivos operacionais permaneceram nebulosos.
Em dezembro de 2023, uma nova variante do P2PInfect foi descoberta pelos analistas da Cado, projetada para visar processadores MIPS de 32 bits (Microprocessor without Interlocked Pipelined Stages) encontrados em roteadores e dispositivos IoT.
A Cado relata que, a partir de 16 de maio de 2024, dispositivos infectados com P2PInfect receberam um comando para baixar e executar um payload de ransomware (rsagen) de uma URL especificada, com o comando sendo válido até 17 de dezembro de 2024.
Ao ser lançado, o binário do ransomware verifica a existência de uma nota de resgate ("Seus dados foram bloqueados!.txt") para evitar a recriptografia de sistemas comprometidos.
O ransomware visa arquivos com extensões específicas relacionadas a bancos de dados (SQL, SQLITE3, DB), documentos (DOC, XPS) e arquivos de mídia (MP3, WAV, MKV) e adiciona a extensão '.encrypted' aos arquivos resultantes.
O ransomware itera por todos os diretórios, criptografando arquivos e armazenando um banco de dados de arquivos criptografados em um arquivo temporário com a extensão '.lockedfiles'.
O dano do módulo de ransomware é contido pelo seu nível de privilégio, limitado ao do usuário Redis comprometido e aos arquivos acessíveis a eles.
Além disso, como o Redis é frequentemente implantado na memória, poucos arquivos além dos arquivos de configuração são elegíveis para criptografia.
O minerador XMR (Monero) visto inativo em iterações anteriores agora foi ativado, transferido para um diretório temporário e lançado cinco minutos após o início do payload principal.
A carteira e a pool de mineração pré-configuradas nos exemplos examinados até agora renderam 71 XMR, o que é cerca de $10.000, mas a Cado diz que há uma boa chance dos operadores usarem endereços adicionais de carteira.
Uma característica peculiar da nova variante do P2PInfect é que o minerador está configurado para usar toda a capacidade de processamento disponível, muitas vezes prejudicando a operação do módulo de ransomware.
Vale destacar também um novo rootkit em modo usuário que permite aos bots P2PInfect ocultar seus processos e arquivos maliciosos das ferramentas de segurança, sequestrando múltiplos processos para alcançar essa ocultação.
Embora o rootkit seja teoricamente capaz de ocultar operações de arquivo, eventos de acesso a dados e conexões de rede, sua eficácia é novamente limitada pela implantação típica do Redis na memória.
A pesquisa da Cado sobre se o P2PInfect é alugado para múltiplos criminosos cibernéticos ou operado por uma equipe central foi inconclusiva, e as evidências apoiam ambos os cenários.
A principal conclusão é que o P2PInfect não é mais um experimento, mas uma ameaça real aos servidores Redis, capaz de destruir dados e sequestrar recursos computacionais para lucro.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...