A Unidade 42, equipe de pesquisa da Palo Alto Networks, publicou um relatório de pesquisa sobre um novo worm peer-to-peer (P2P) direcionado à nuvem, denominado P2PInfect. Este worm tem como alvo sistemas Redis vulneráveis com explorações eficazes em contêineres. Ao mesmo tempo, a Unidade 42 também publicou um relatório sobre o ransomware Mallox. Os pesquisadores observaram um aumento de quase 50% na atividade, com servidores MS-SQL sendo explorados para espalhar o ransomware.
Em 11 de julho de 2023, os pesquisadores de nuvem da Unidade 42 descobriram um novo worm peer-to-peer (P2P) que eles apelidaram de P2PInfect. Escrito na linguagem de programação Rust, altamente escalável e compatível com a nuvem, esse worm é capaz de infectar várias plataformas. Ele tem como alvo o Redis, um popular aplicativo de banco de dados de código aberto amplamente utilizado em ambientes de nuvem.
P2PInfect - um worm ponto a ponto auto-replicante
As instâncias do Redis podem ser executadas em sistemas operacionais Linux e Windows. Os pesquisadores da Unidade 42 identificaram mais de 307.000 sistemas Redis que se comunicaram publicamente nas últimas duas semanas, dos quais 934 podem ser vulneráveis a esta variante do worm P2P. Mesmo que nem todas as 307.000 mil instâncias do Redis sejam vulneráveis, o worm ainda atacará esses sistemas e tentará comprometê-los.
O worm P2PInfect infecta instâncias vulneráveis do Redis explorando a vulnerabilidade de escape do sandbox Lua (CVE-2022-0543). Isso torna o worm P2PInfect mais eficaz para operar e se espalhar em ambientes de contêineres em nuvem. Aqui, os pesquisadores da Unidade 42 descobriram o worm ao comprometer uma instância de contêiner Redis em seu ambiente HoneyCloud.
Worm ataca contêiner Redis em pote de mel
Este é um conjunto de honeypots projetados para identificar e investigar novos ataques baseados em nuvem em ambientes de nuvem pública. Embora a vulnerabilidade tenha sido anunciada em 2022, o seu alcance ainda não é totalmente conhecido. No entanto, é classificado com uma pontuação CVSS crítica de 10,0 no NIST National Vulnerability Database. Além disso, o fato de o P2PInfect explorar servidores Redis executados em sistemas operacionais Linux e Windows o torna mais escalonável e eficaz do que outros worms. O worm P2P observado pelos pesquisadores serve como exemplo de ataque sério que seria possível utilizando esta vulnerabilidade.
Mallox Ransomware: Aumento significativo na atividade
🔎 Gravação de ataque Mallox por solução XDR (Imagem: Palo Alto Networks).
Mallox, também conhecido como TargetCompany, Fargo e Tohnichi, é uma variedade de ransomware que tem como alvo sistemas Microsoft (MS) Windows. Em atividade desde junho de 2021, caracteriza-se por explorar servidores MS-SQL inseguros como vetor de penetração para comprometer as redes das vítimas.
Recentemente, os pesquisadores da Unidade 42 observaram um aumento na atividade do ransomware Mallox. Desde o início de 2023, as atividades da Mallox têm aumentado constantemente. De acordo com dados de telemetria e de código aberto, o número de ataques Mallox aumentou 2023 por cento em 2022 em comparação com 174. O grupo de ransomware Mallox faz centenas de vítimas. Embora o número real de vítimas seja desconhecido, os dados de telemetria da Unidade 42 sugerem dezenas de vítimas potenciais em todo o mundo, espalhadas por vários setores, incluindo manufatura, serviços profissionais e jurídicos, atacado e varejo.
Mallox usa dupla chantagem
Como muitos outros grupos de ransomware, o ransomware Mallox segue a tendência do resgate duplo: os invasores roubam dados, criptografam os arquivos e ameaçam publicar os dados roubados em um site com vazamento para fazer com que as vítimas paguem o resgate. Cada vítima recebe uma chave privada para se comunicar com o grupo através do navegador Tor e negociar condições e pagamento.
Os pesquisadores recomendam o uso de uma solução XDR/EDR para realizar inspeção na memória e detectar técnicas de injeção de processo. A caça a ameaças permite que as organizações procurem sinais de comportamento incomum relacionado ao desvio de produtos de segurança, movimentação lateral de contas de serviço e comportamento do usuário relacionado a administradores de domínio.
Mais em PaloAltoNetworks.com
Sobre a Palo Alto Networks A Palo Alto Networks, líder global em soluções de segurança cibernética, está moldando o futuro baseado em nuvem com tecnologias que transformam a maneira como as pessoas e as empresas trabalham. Nossa missão é ser o parceiro preferencial de segurança cibernética e proteger nosso modo de vida digital. Ajudamos você a enfrentar os maiores desafios de segurança do mundo com inovação contínua, aproveitando os avanços mais recentes em inteligência artificial, análise, automação e orquestração. Ao fornecer uma plataforma integrada e capacitar um crescente ecossistema de parceiros, somos líderes na proteção de dezenas de milhares de empresas em nuvens, redes e dispositivos móveis. Nossa visão é um mundo onde cada dia é mais seguro do que o anterior.