Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / RedisRaider: nuevo malware en Go mina Monero en servidores Redis expuestos

RedisRaider: nuevo malware en Go mina Monero en servidores Redis expuestos

Por Deja un comentario

Investigadores de Datadog Security Labs han descubierto RedisRaider, una campaña de cryptojacking que escanea Internet en busca de instancias Redis accesibles y, si encuentra una víctima Linux, implanta un minero XMRig para Monero mediante un payload escrito en Go.

¿Cómo funciona el ataque?

  • Exploración dirigida
    El gusano incorpora su propio scanner y prueba rangos aleatorios de la IPv4; cuando halla Redis en el puerto 6379, ejecuta el comando INFO para confirmar que corre en Linux.
  • Abuso de configuración legítima
    Si el host es apto, usa SET para crear una entrada de cron (clave t) con una vida útil de solo 120 segundos (TTL) y después cambia el directorio de trabajo de Redis a /etc/cron.d con CONFIG SET dir, renombra la base de datos a apache y fuerza BGSAVE. El resultado es un fichero que el demonio cron interpreta como tarea programada y ejecuta cada minuto.
  • Descarga y ejecución del binario Go
    La tarea cron decodifica un script Base64 que descarga el binario RedisRaider en /tmp/mysql, le da permisos de ejecución y lo lanza con nohup para que siga activo incluso si termina el proceso padre.
  • Dropper + XMRig + propagación
    El binario, ofuscado con la herramienta Garble, actúa como dropper: desenpaqueta en memoria una versión personalizada de XMRig, la escribe sobre sí mismo y la ejecuta. Paralelamente inicia nuevas corutinas que siguen escaneando otras direcciones Redis para expandir la infección.
  • Evasión y rentabilidad múltiple
    Además de las TTL cortas y la limpieza de claves, la infraestructura aloja un minero web para visitantes, maximizando beneficios.

Medidas de mitigación

  • Ejecutar Redis en modo protegido o restringirlo tras un cortafuegos/VPN.
  • Deshabilitar el comando CONFIG en producción cuando sea posible.
  • Monitorizar la aparición de archivos inusuales en /etc/cron.d y procesos XMRig.
  • Mantener reglas de detección para tráfico anómalo al puerto 6379 y conexiones salientes al pool de minería.

Más información:

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.