P2PInfect Botnet กลับมาเริ่มโจมตีอีกครั้ง มาพร้อม Ransomware module ใหม่ มุ่งเป้า Redis Server
Cado Security รายงานการตรวจพบ P2PInfect Botnet กลับมาเริ่มโจมตีอีกครั้ง มีการอัปเดต Ransomware module ใหม่สำหรับการใช้โจมตี โดย P2PInfect ถูกพบเป็นครั้งแรกเมื่อเดือนกรกฎาคมปีที่แล้วโดย Unit 42 ขณะนั้นมีการมุ่งเป้าโจมตี Redis Server ผ่านช่องโหว่ที่มีอยู่ และใช้วิธีการกระจายตัวผ่านฟีเจอร์ Redis replication ในลักษณะ peer-to-peer มีการใช้เทคนิคต่างๆในการเข้าโจมตีกว่านับพันครั้ง เช่น Cron-based persistence, Fallback communication และ SSH lockout ซึ่งหลังจากที่เข้าสู่ระบบได้ ก็จะทำการแฝงตัวอยู่ภายในและไม่มีการโจมตีใดๆต่อ
เมื่อวันที่ 16 พฤษภาคมที่ผ่านมา P2PInfect ได้กลับมาถูกตรวจพบอีกครั้ง โดยมีการเพิ่ม Ransomware module ใหม่เข้ามา ตัว Botnet จะสั่งให้ดาวน์โหลด ransomware payload (rsagen) ผ่าน URL ที่กำหนด มีความพยายามในการเข้ารหัสไฟล์หลายประเภทและใช้นามสกุลไฟล์ “.encrypted” เช่น ฐานข้อมูล (SQL, SQLITE3, DB), เอกสาร (DOC, XLS) และไฟล์มีเดีย (MP3, WAV, MKV) นอกจากนี้ยังมีการติดตั้ง XMR (Monero) miner ในเครื่องเป้าหมายอีกด้วย และมีการใช้ user-mode rootkit เพื่อซ่อน process การทำงานของตัวเอง
ผู้ดูแลระบบควรทำการตรวจสอบการตั้งค่าความปลอดภัยของระบบ Redis Server และอัปเดตแพตช์ความปลอดภัยอย่างสม่ำเสมอ
ที่มา: Bleeping Computer