Дослідницька група Unit 42 Palo Alto Networks опублікувала звіт про дослідження нового однорангового (P2P) хробака, націленого на хмару, під назвою P2PInfect. Цей хробак націлений на вразливі системи Redis за допомогою експлойтів, ефективних для контейнерів. У той же час Unit 42 також опублікував звіт про програму-вимагач Mallox. Дослідники спостерігали збільшення активності майже на 50 відсотків, оскільки сервери MS-SQL використовувалися для поширення програми-вимагача.
11 липня 2023 року дослідники хмарних технологій Unit 42 виявили нового однорангового (P2P) хробака, якого вони назвали P2PInfect. Цей хробак, написаний мовою програмування Rust, яка добре масштабується та дружня до хмар, здатний заражати різні платформи. Він націлений на Redis, популярну програму бази даних з відкритим кодом, яка широко використовується в хмарних середовищах.
P2PInfect - одноранговий хробак, що самовідтворюється
Екземпляри Redis можуть працювати як в операційних системах Linux, так і в Windows. Дослідники Unit 42 виявили понад 307.000 934 систем Redis, які відкрито спілкувалися протягом останніх двох тижнів, з яких 2 можуть бути вразливими до цього варіанту хробака P307.000P. Навіть якщо не всі з XNUMX XNUMX екземплярів Redis є вразливими, хробак все одно атакуватиме ці системи та намагатиметься зламати їх.
Хробак P2PInfect заражає вразливі екземпляри Redis, використовуючи вразливість пісочниці Lua (CVE-2022-0543). Це робить хробака P2PInfect більш ефективним для роботи та поширення в хмарних контейнерних середовищах. Тут дослідники Unit 42 виявили хробака, скомпрометувавши примірник контейнера Redis у своєму середовищі HoneyCloud.
Черв'як атакує контейнер Redis у горщику з медом
Це набір приманок, призначених для виявлення та дослідження нових хмарних атак у загальнодоступних хмарних середовищах. Хоча про вразливість було оголошено у 2022 році, її масштаби ще не повністю відомі. Однак він отримав критичну оцінку CVSS 10,0 у Національній базі даних уразливостей NIST. Крім того, той факт, що P2PInfect використовує сервери Redis, що працюють в операційних системах Linux і Windows, робить його масштабованішим і ефективнішим, ніж інші хробаки. Хробак P2P, який спостерігали дослідники, служить прикладом серйозної атаки, яка була б можлива за допомогою цієї вразливості.
Програмне забезпечення-вимагач Mallox: значне зростання активності
🔎 Запис атаки Mallox рішенням XDR (Зображення: Palo Alto Networks).
Mallox, також відомий як TargetCompany, Fargo і Tohnichi, є штамом програм-вимагачів, націленим на системи Microsoft (MS) Windows. Активний з червня 2021 року, він характеризується використанням незахищених серверів MS-SQL як вектора проникнення для компрометації мереж жертв.
Нещодавно дослідники Unit 42 спостерігали зростання активності програм-вимагачів Mallox. З початку 2023 року діяльність Mallox постійно зростала. Згідно з даними телеметрії та відкритих джерел, у 2023 році кількість атак Mallox зросла на 2022 відсотки порівняно з 174 роком. Група програм-вимагачів Mallox заявляє про сотні жертв. Хоча фактична кількість жертв невідома, телеметричні дані Unit 42 свідчать про десятки потенційних жертв по всьому світу, поширених у різних галузях промисловості, включаючи виробництво, професійні та юридичні послуги, оптову та роздрібну торгівлю.
Mallox використовує подвійний шантаж
Як і багато інших груп програм-вимагачів, програми-вимагачі Mallox дотримуються тенденції подвійного викупу: зловмисники викрадають дані, шифрують файли та погрожують опублікувати викрадені дані на веб-сайті, що витікає, щоб змусити жертв заплатити викуп. Кожна жертва отримує закритий ключ для спілкування з групою через браузер Tor і узгодження умов і оплати.
Дослідники рекомендують використовувати рішення XDR/EDR для виконання перевірки в пам’яті та виявлення методів ін’єкції процесу. Полювання на загрози дозволяє організаціям шукати ознаки незвичайної поведінки, пов’язаної з обходом продуктів безпеки, обліковими записами служби бокового переміщення та поведінкою користувачів, пов’язаною з адміністраторами домену.
Більше на PaloAltoNetworks.com
Про Palo Alto Networks Palo Alto Networks, світовий лідер у сфері рішень для кібербезпеки, формує хмарне майбутнє за допомогою технологій, які змінюють спосіб роботи людей і компаній. Наша місія — бути кращим партнером із кібербезпеки та захищати наш цифровий спосіб життя. Ми допомагаємо вам вирішувати найбільші світові виклики безпеки за допомогою безперервних інновацій, використовуючи останні досягнення в області штучного інтелекту, аналітики, автоматизації та оркестровки. Пропонуючи інтегровану платформу та надаючи можливості зростаючій екосистемі партнерів, ми є лідерами у захисті десятків тисяч компаній у хмарах, мережах і мобільних пристроях. Наше бачення — це світ, у якому кожен день безпечніший за попередній.