RedisRaider: nuevo malware en Go mina Monero en servidores Redis expuestos

Hispasec

hace 11 meses

Investigadores de Datadog Security Labs han descubierto RedisRaider, una campaña de cryptojacking que escanea Internet en busca de instancias Redis accesibles y, si encuentra una víctima Linux, implanta un minero XMRig para Monero mediante un payload escrito en Go.

¿Cómo funciona el ataque?

Exploración dirigida
El gusano incorpora su propio scanner y prueba rangos aleatorios de la IPv4; cuando halla Redis en el puerto 6379, ejecuta el comando INFO para confirmar que corre en Linux.
Abuso de configuración legítima
Si el host es apto, usa SET para crear una entrada de cron (clave t) con una vida útil de solo 120 segundos (TTL) y después cambia el directorio de trabajo de Redis a /etc/cron.d con CONFIG SET dir, renombra la base de datos a apache y fuerza BGSAVE. El resultado es un fichero que el demonio cron interpreta como tarea programada y ejecuta cada minuto.
Descarga y ejecución del binario Go
La tarea cron decodifica un script Base64 que descarga el binario RedisRaider en /tmp/mysql, le da permisos de ejecución y lo lanza con nohup para que siga activo incluso si termina el proceso padre.
Dropper + XMRig + propagación
El binario, ofuscado con la herramienta Garble, actúa como dropper: desenpaqueta en memoria una versión personalizada de XMRig, la escribe sobre sí mismo y la ejecuta. Paralelamente inicia nuevas corutinas que siguen escaneando otras direcciones Redis para expandir la infección.
Evasión y rentabilidad múltiple
Además de las TTL cortas y la limpieza de claves, la infraestructura aloja un minero web para visitantes, maximizando beneficios.

Medidas de mitigación

Ejecutar Redis en modo protegido o restringirlo tras un cortafuegos/VPN.
Deshabilitar el comando CONFIG en producción cuando sea posible.
Monitorizar la aparición de archivos inusuales en /etc/cron.d y procesos XMRig.
Mantener reglas de detección para tráfico anómalo al puerto 6379 y conexiones salientes al pool de minería.