La campagna HeadCrab contro i server Redis, attiva dal 2021, continua a infettare con successo gli obiettivi con la nuova versione. Il miniblog dei criminali contenuto nel codice fornisce indizi e attacca i difensori.
L’anno scorso, l’allora nuovo malware HeadCrab ha causato problemi. I criminali informatici hanno utilizzato il malware all’avanguardia, che rimane non rilevabile dalle soluzioni antivirus tradizionali e senza agenti, per compromettere i server Redis. La campagna dei criminali è attiva da settembre 2021 e all'inizio del 2023 aveva già compromesso 1.200 server in tutto il mondo per utilizzarli in modo improprio per il cryptojacking. Ora gli esperti di sicurezza del Team Nautilus di Aqua hanno scoperto una nuova versione del malware HeadCrab con nuovi meccanismi avanzati. L'indagine in corso da parte di Nautilus mostra che la questione non è realmente migliorata da quando è stata rivelata per la prima volta l'anno scorso. Nell’ambito della loro campagna in corso, i criminali sono infatti riusciti quasi a raddoppiare il numero di server Redis infetti.
Approfondimento sul mini blog
Durante l'indagine continua di HeadCrab, gli esperti del Team Nautilus si sono imbattuti in un componente interessante nella prima versione del malware: un mini-blog. In un piccolo testo all'interno del malware, i criminali discutono le strategie della campagna e i riferimenti specifici agli eventi associati, spiegano il loro approccio e non esitano a colpire gli avversari del Team Nautilus. Questo blog è diventato una solida fonte di informazioni su HeadCrab, fornendo informazioni direttamente dal punto di vista dell'aggressore. Nella prima versione di HeadCrab, scoperta da Nautilus all'inizio del 2023, Aqua veniva menzionata in questo mini-blog e collegata a un precedente post sul blog che Nautilus aveva pubblicato. In questa nuova versione del malware, gli autori menzionano nuovamente Nautilus e si rivolgono direttamente a loro con una dichiarazione: “…fondamentalmente sono d'accordo: sono mio perché quasi non danneggia la vita e i sentimenti umani (se fatto bene), ma è un parassita e un modo inefficiente di guadagnare $. In effetti l’80% di questi sistemi sono già attivi nel mining, ma questa non è una scusa: le persone sono motivate e, se cacciate, faranno mining da qualche altra parte”.
Altro su Aquasec.com
A proposito di Aqua Security Aqua Security è il più grande fornitore di sicurezza cloud native puro. Aqua offre ai suoi clienti la libertà di innovare e accelerare la loro trasformazione digitale. Aqua Platform fornisce prevenzione, rilevamento e automazione della risposta lungo tutto il ciclo di vita dell'applicazione per proteggere la supply chain, l'infrastruttura cloud e i carichi di lavoro continui, indipendentemente da dove vengono implementati.
Articoli relativi all'argomento