Malware propaga cargas úteis de ransomware e cryptomining

Após manter uma atividade maioritariamente benigna durante 2023, uma variante atualizada do malware cloud-adept e baseado em Rust – o P2PInfect – está a espalhar cargas úteis de ransomware e cryptominer.

Ao longo do ano passado, o malware foi seguido apenas por investigadores que têm analisado instâncias de cloud. Estes profissionais procuraram instâncias não corrigidas de uma vulnerabilidade de sandbox escape de 2022 (CVE-2022-0543).

No dia 25 de junho, os investigadores da Cado Security escreveram no seu blog que o P2PInfect se espalha principalmente através de Redis e um spreader SSH limitado. Agora, o malware foi atualizado com um cryptominer, carga útil de ransomware e funcionalidade de rootkit.

A sua evolução representa um exemplo típico do desenvolvimento de um malware sofisticado. De acordo com Patrick Tiquet, vice-presidente de segurança e arquitetura na Keeper Security, muitas vezes, os cibercriminosos concentram-se, durante a fase inicial, na propagação e no estabelecimento de uma base sólida nas redes, recorrendo a técnicas como explorar vulnerabilidades de software ou empregar password spraying. 

Em julho de 2023, a Unit 42 da Palo Alto Networks descreveu pela primeira vez o malware como um “peer-to-peer (P2P) worm”, designando assim de P2PInfect.

“Este worm é capaz de infeções entre plataformas e tem como alvo o Redis, uma aplicação popular de banco de dados de código aberto que é muito utilizada em ambientes cloud... O worm P2PInfect infecta instâncias vulneráveis do Redis ao explorar a vulnerabilidade de sandbox escape Lua, CVE -2022-0543. Embora a vulnerabilidade tenha sido divulgada em 2022, o seu âmbito não é totalmente conhecido neste momento…”, escreveram os investigadores numa publicação.

Segundo Patrick Tiquet, o objetivo desta fase atual prende-se com a criação de uma rede de dispositivos infetados, de modo a formar uma botnet que os autores cibercriminosos possam utilizar posteriormente para fins maliciosos. Com esta construção lenta, o malware é capaz de fugir à deteção pela parte de produtos antivírus padrão, baseados em assinaturas. Desta forma, a utilização de técnicas avançadas de evasão permite aumentar a sua persistência e longevidade nos sistemas.

“Depois de um número significativo de dispositivos ser comprometido, o malware pode ser atualizado com recursos mais destrutivos, como ransomware ou crypto miners”, explica Tiquet. “Ao permanecerem não detetados por períodos mais longos, os agentes maliciosos podem realizar campanhas prolongadas, maximizando o seu impacto e ganhos financeiros. Esta progressão torna o malware mais perigoso ao longo do tempo, tornando-se mais difícil de combater uma vez profundamente enraizado numa rede”.

De acordo com Ken Dunham, diretor de ciberameaças da Qualys Threat Research Unit, o P2Pinfect é bastante típico no que diz respeito ao ataque a contas SSH cuja defesa é fraca. O profissional considera que o malware tem algumas componentes de resiliência únicas que estão integradas na infraestrutura da sua operação, segundo a investigação da Cado Security.

“Esta investigação prova que a ‘discrição para a sobrevivência’ é importante para os adversários que trabalharam muito nos seus códigos e ataques, desejando manter a sua posição uma vez dentro de uma rede”, constata Dunham.

Dunham considera que é fundamental que as equipas de inteligência de ciberameaças procedam à monitorização e gestão da evolução das táticas, técnicas e procedimentos dos cibercriminosos. É igualmente essencial ter atenção às mudanças no cenário de ameaças e nos indicadores em que as empresas se devem basear para reduzir o risco.

“À medida que os adversários se concentram na resiliência e na discrição para sobreviver, é fundamental que as organizações sejam capazes de obter visibilidade das ameaças e prever o desconhecido, com auditorias e garantias regulares, juntamente com operações de purple teaming”, frisa Dunham.