P2PInfect Botnet Utiliza Miner Y Ransomware Payload
Recientes informes de los medios de comunicación han sacado a la luz el malware P2PInfect. Se ha descubierto que la red de bots peer-to-peer explota la vulnerabilidad del servidor Redis con ransomware y mineros de criptomonedas. El malware, que antes se consideraba inactivo y sin motivos, no está siendo utilizado por actores de amenazas con motivos financieros.
En este blog, profundizaremos en el malware P2PInfect y comprenderemos qué lo convierte en una amenaza de máxima preocupación.
El malware P2PInfect al descubierto
El malware P2PInfect apareció hace un año y desde entonces ha recibido continuas actualizaciones. El uso del malware se descubrió a principios de enero, cuando se vio que entregaba cargas útiles de mineros. El malware P2PInfect se ha propagado atacando el servidor Redis.
Explota la función de replicación del servidor, que transforma los sistemas de las víctimas en un nodo seguidor de un servidor controlado por el actor de la amenaza. Otra capacidad intrigante de esta botnet peer-to-peer es que puede escanear Internet en busca de más servidores web vulnerables. Además, el malware P2PInfect cuenta con un módulo de rociado de contraseñas SSH.
El módulo puede utilizarse como parte de la cadena de ataque y ayuda a los actores de la amenaza a llevar a cabo intentos de inicio de sesión utilizando contraseñas comunes. Algunas otras capacidades clave que hacen que el malware una amenaza primordial incluyen su capacidad para:
- Evite que otros ciberdelincuentes ataquen el mismo servidor.
- Reiniciando el servicio SSH con permiso root.
- Permitir a los actores de amenazas realizar una escalada de privilegios.
Malware P2PInfect: estructura de la red zombi y visión de los expertos
Antes de sumergirse en la visión de los expertos, los aficionados a la ciberseguridad deben saber que una característica clave del malware es su arquitectura. Con este malware, cada máquina infectada actúa como un nodo que forma parte de una red de malla mayor. Esta estructura facilita la rápida difusión tanto de comandos como de actualizaciones.
Esta estructura permite a los autores de la amenaza asegurarse de que el malware puede eludir la detección sin comprometer su presencia en los sistemas de las víctimas. La botnet ha sido analizada por expertos debido a su gravedad. Al comentar el malware P2PInfect, Patrick Tiquet, Vicepresidente de Seguridad y Arquitectura de Keeper Security ha declarado que:
"El desarrollo de P2Pinfect es un ejemplo típico de cómo se desarrolla el malware sofisticado, que a menudo se centra en la propagación y el establecimiento de un punto de apoyo sólido dentro de las redes durante la fase inicial, utilizando técnicas como la explotación de vulnerabilidades de software o el empleo de la pulverización de contraseñas."
Otro experto, Ken Dunham, Director de Ciberamenazas de la Unidad de Investigación de Amenazas de Qualys, también ha declarado lo siguiente:
"Es esencial que los equipos de inteligencia sobre ciberamenazas (CTI) supervisen y gestionen la evolución de las tácticas, técnicas y procedimientos (TTP) de los malos actores para la atribución, así como los cambios en el panorama de las amenazas y los indicadores sobre dónde deben centrarse las empresas para reducir mejor el riesgo."
Conclusión
El malware recientemente descubierto se ha convertido en una grave amenaza emergente para los internautas de todo el mundo. Tras su descubrimiento inicial en junio de 2023, el malware se consideró inactivo y sin motivos. Sin embargo, recientes exploits activos relacionados con él han desenterrado que está siendo utilizado para obtener beneficios económicos.
En la actualidad, el malware P2PInfect puede escalar privilegios, reiniciar servidores SSH con permisos de root y mucho más. Ante esta situación, la aplicación de medidas de ciberseguridad robustas se ha convertido en una necesidad, ya que puede mejorar la postura de seguridad, reducir la exposición al riesgo y permitir a las organizaciones combatir este tipo de amenazas.
Las fuentes de este artículo son The Hacker News y HACK READ.