ClickCease Alerta: Malware P2PInfect con minero y ransomware - TuxCare

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

P2PInfect Botnet Utiliza Miner Y Ransomware Payload

por Wajahat Raja

12 de julio de 2024 - Equipo de expertos TuxCare

Recientes informes de los medios de comunicación han sacado a la luz el malware P2PInfect. Se ha descubierto que la red de bots peer-to-peer explota la vulnerabilidad del servidor Redis con ransomware y mineros de criptomonedas. El malware, que antes se consideraba inactivo y sin motivos, no está siendo utilizado por actores de amenazas con motivos financieros.

En este blog, profundizaremos en el malware P2PInfect y comprenderemos qué lo convierte en una amenaza de máxima preocupación.

El malware P2PInfect al descubierto

El malware P2PInfect apareció hace un año y desde entonces ha recibido continuas actualizaciones. El uso del malware se descubrió a principios de enero, cuando se vio que entregaba cargas útiles de mineros. El malware P2PInfect se ha propagado atacando el servidor Redis.

Explota la función de replicación del servidor, que transforma los sistemas de las víctimas en un nodo seguidor de un servidor controlado por el actor de la amenaza. Otra capacidad intrigante de esta botnet peer-to-peer es que puede escanear Internet en busca de más servidores web vulnerables. Además, el malware P2PInfect cuenta con un módulo de rociado de contraseñas SSH.

El módulo puede utilizarse como parte de la cadena de ataque y ayuda a los actores de la amenaza a llevar a cabo intentos de inicio de sesión utilizando contraseñas comunes. Algunas otras capacidades clave que hacen que el malware una amenaza primordial incluyen su capacidad para:

  • Evite que otros ciberdelincuentes ataquen el mismo servidor.
  • Reiniciando el servicio SSH con permiso root.
  • Permitir a los actores de amenazas realizar una escalada de privilegios.

Malware P2PInfect: estructura de la red zombi y visión de los expertos

 

Antes de sumergirse en la visión de los expertos, los aficionados a la ciberseguridad deben saber que una característica clave del malware es su arquitectura. Con este malware, cada máquina infectada actúa como un nodo que forma parte de una red de malla mayor. Esta estructura facilita la rápida difusión tanto de comandos como de actualizaciones.

Esta estructura permite a los autores de la amenaza asegurarse de que el malware puede eludir la detección sin comprometer su presencia en los sistemas de las víctimas. La botnet ha sido analizada por expertos debido a su gravedad. Al comentar el malware P2PInfect, Patrick Tiquet, Vicepresidente de Seguridad y Arquitectura de Keeper Security ha declarado que:

"El desarrollo de P2Pinfect es un ejemplo típico de cómo se desarrolla el malware sofisticado, que a menudo se centra en la propagación y el establecimiento de un punto de apoyo sólido dentro de las redes durante la fase inicial, utilizando técnicas como la explotación de vulnerabilidades de software o el empleo de la pulverización de contraseñas."

Otro experto, Ken Dunham, Director de Ciberamenazas de la Unidad de Investigación de Amenazas de Qualys, también ha declarado lo siguiente:

"Es esencial que los equipos de inteligencia sobre ciberamenazas (CTI) supervisen y gestionen la evolución de las tácticas, técnicas y procedimientos (TTP) de los malos actores para la atribución, así como los cambios en el panorama de las amenazas y los indicadores sobre dónde deben centrarse las empresas para reducir mejor el riesgo."

Conclusión

 

El malware recientemente descubierto se ha convertido en una grave amenaza emergente para los internautas de todo el mundo. Tras su descubrimiento inicial en junio de 2023, el malware se consideró inactivo y sin motivos. Sin embargo, recientes exploits activos relacionados con él han desenterrado que está siendo utilizado para obtener beneficios económicos.

En la actualidad, el malware P2PInfect puede escalar privilegios, reiniciar servidores SSH con permisos de root y mucho más. Ante esta situación, la aplicación de medidas de ciberseguridad robustas se ha convertido en una necesidad, ya que puede mejorar la postura de seguridad, reducir la exposición al riesgo y permitir a las organizaciones combatir este tipo de amenazas.

Las fuentes de este artículo son The Hacker News y HACK READ.

Resumen
Alerta: El malware P2PInfect utiliza un minero y un ransomware - %%sitename%%.
Nombre del artículo
Alerta: El malware P2PInfect utiliza un minero y un ransomware - %%sitename%%.
Descripción
El malware P2PInfect se está convirtiendo en una grave ciberamenaza. Conozca su cadena de ataque, su estructura y mucho más. Mantente informado, mantente seguro.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.