P2Pinfect evolve e distribuisce un ransomware e un cryptominer

I ricercatori di Cado Security hanno scoperto che il malware P2Pinfect, utilizzato per creare botnet, si è evoluto per distribuire un ransomware e un cryptominer tra i dispositivi infetti.

Il malware, attivo almeno da giugno 2023, sfrutta le feature di replicazione di Redis per distribuirsi tra i nodi di un cluster: una volta infettato un nodo leader, si collega a nodi follower che sono repliche esatte del leader, così che l’attaccante possa inviare comandi da far eseguire alle macchine. Poiché P2Pinfect è un worm, tutti i nodi infetti scansionano la rete per trovare nuovi sever da infettare.

Pixabay

Il malware dispone anche di un password sprayer SSH che tenta di aggiornare la configurazione SSH, cambiare la password di altri utenti ed eseguire la privilege escalation, anche se, spiegano i ricercatori, il tasso di successo di questo attacco è molto più basso di quello che sfrutta Redis.

“La botnet è la caratteristica più rilevante di P2Pinfect” spiegano ricercatori. “Come suggerisce il nome, si tratta di una botnet peer-to-peer, in cui ogni macchina infetta agisce come un nodo della rete e mantiene una connessione con diversi altri nodi“.

Una volta creata la rete di nodi, gli attaccanti possono distribuire payload malevoli sfruttando la comunicazione peer-to-peer: il meccanismo notifica ogni componente della rete finché il messaggio non è arrivato a tutti. Quando un nuovo nodo si aggiunge alla rete, i comandi e i messaggi ancora validi vengono condivisi col nuovo peer.

L’evoluzione di P2Pinfect

Gli attaccanti dietro P2Pinfect hanno aggiornato il malware e offuscato il codice, rendendo più difficile l’analisi statica. Le novità più interessanti riguardano però l’esecuzione di un binario relativo a un miner, precedentemente non utilizzato, e il download di un payload relativo a un ransomware.

I ricercatori di Cado Security non sono riusciti a scoprire con esattezza il processo crittografico, ma è probabile che gli attaccanti utilizzino una chiave pubblica per cifrare sia i file che la chiave privata, aggiungendo poi la chiave pubblica alla nota di riscatto. “Ciò permette agli attaccanti di decifrare la chiave privata e darla all’utente dopo il pagamento, senza includere secret o dettagli sul server C2 sulla macchina client“.

Non è chiaro quanto gli attaccanti siano riusciti a guadagnare col ransomware ma, dal momento che si tratta di una campagna opportunistica e senza un target specifico, è probabile che il riscatto richiesto non sia elevato. Grazie al miner, invece, gli attaccanti sono riusciti a guadagnare circa 71 XMR (monero), l’equivalente di 9.660 sterline (circa 11.440 euro).

Pixabay

Il team di Cado Security ha ipotizzato che P2Pinfect possa essere una “botnet-for-hire”, ovvero un servizio a pagamento per chiunque voglia eseguire questo tipo di attacchi, e che possa essere estesa con nuove funzionalità come nel caso del miner e del ransomware; al momento però non ci sono abbastanza prove per affermarlo con certezza.

I ricercatori sottolineano che P2Pinfect ha infettato molti server Redis e che gli ultimi aggiornamenti lo rendono una minaccia significativa. L’aggiunta del miner e del ransomware sono un chiaro segno che gli attaccanti stanno lavorando per perfezionare il malware, rendendolo sempre più pericoloso e difficile da fermare.