Plus d’un millier de serveurs Redis ont été infectés par un logiciel malveillant personnalisé appelé HeadCrab, ont rapporté des chercheurs.
Le logiciel malveillant a créé les terminaux (s’ouvre dans un nouvel onglet) exploiter Monero, une crypto-monnaie axée sur la confidentialité et un favori des hackers.
La cybersécurité de Nautilus d’Aqua Security a découvert un botnet couvrant 1 200 serveurs Redis, qui ont été infectés au cours de la dernière année et demie. Les serveurs étaient situés aux États-Unis, au Royaume-Uni, en Allemagne, en Inde, en Malaisie, en Chine et dans d’autres pays, et en plus d’être des serveurs Redis, ils n’ont pas d’autres liens.
Authentification désactivée par défaut
« Les victimes semblent avoir peu de choses en commun, mais l’attaquant semble cibler principalement les serveurs Redis et possède une compréhension et une expertise approfondies des modules et des API Redis, comme le démontrent les logiciels malveillants », ont déclaré les chercheurs Asaf Eitani et Nitzan Yaakov.
Il s’avère que les serveurs de base de données open source Redis ont l’authentification désactivée par défaut, ce qui permet aux pirates d’y accéder et d’exécuter du code à distance, sans avoir besoin de s’authentifier en tant qu’utilisateur. Apparemment, de nombreux utilisateurs de Redis ont oublié d’activer la fonction d’authentification, exposant leurs points de terminaison aux attaquants.
De plus, les clusters Redis utilisent des serveurs maîtres et esclaves pour la réplication et la synchronisation des données, permettant aux attaquants d’utiliser la commande SLAVEOF par défaut et de définir le point de terminaison cible comme esclave d’un serveur Redis qu’ils contrôlent déjà. Cela leur permet de déployer le malware HeadCrab.
Les chercheurs ne savent pas qui se cache derrière la campagne, mais en regardant leurs portefeuilles de crypto-monnaie, ils en ont déduit qu’ils rapportaient environ 4 500 $ par appareil infecté, par an.
« Nous avons remarqué que l’attaquant s’est donné beaucoup de mal pour assurer la furtivité de son attaque », ont ajouté les chercheurs.
Monero est sans doute la crypto-monnaie la plus populaire parmi les pirates se livrant au cryptojacking. Au fil des ans, il y a eu d’innombrables rapports de criminels déployant XMRig, un mineur Monero populaire, sur des serveurs et des centres de données du monde entier, faisant grimper d’énormes factures d’électricité aux victimes, tout en rendant leurs serveurs pratiquement inutiles.
Via : Le Registre (s’ouvre dans un nouvel onglet)