Auch in Deutschland: P2Pinfect-Botnetz breitet sich rasant auf Redis-Servern aus
Sicherheitsforscher von Cado Security Labs haben ein massives Wachstum des von dem P2Pinfect-Botnetz verursachten Datenverkehrs festgestellt. Seit Anfang September sei dieser etwa um den Faktor 600 angestiegen, während der Zuwachs allein in der Woche vor der gestern erfolgten Veröffentlichung des Berichts von Cado Security Labs(öffnet im neuen Fenster) bei 12,3 Prozent gelegen habe.
Um den Datenverkehr von Botnetzen zu erfassen, haben die Forscher eine eigene Honeypot-Infrastruktur eingerichtet. Allein auf einem einzelnen Honeypot-Sensor habe das Forscherteam seit dem 24. August 4.064 Ereignisse erfasst, die mit dem P2Pinfect-Botnetz in Verbindung stehen. Zunächst seien lediglich zwei Ereignisse pro Woche aufgezeichnet worden, bis zum 3. September konnte das Team jedoch bereits eine Verdreifachung auf etwa sechs Ereignisse pro Woche feststellen.
Kurz darauf sei die Aktivität des Botnetzes rapide angestiegen. Allein in der Woche vom 12. bis 19. September habe Cado 3.619 Ereignisse beobachtet - ein Wachstum von 60.216,7 Prozent. "Dieser Anstieg des P2Pinfect-Verkehrs fiel mit einer wachsenden Zahl von Varianten zusammen, die in freier Wildbahn auftauchten, was darauf hindeutet, dass die Entwickler der Malware mit einer extrem hohen Entwicklungsrate arbeiten" , so die Sicherheitsforscher in ihrem Bericht.
P2Pinfect zielt weltweit auf Redis-Instanzen
Das Peer-to-Peer-Botnetz P2Pinfect zielt den Cado-Forschern zufolge auf öffentlich zugängliche Redis-Instanzen ab. Entdeckt wurde die zugehörige Malware erstmals im Juli 2023, wobei das Botnetz damals noch "in den Kinderschuhen" gesteckt haben soll. Seitdem scheinen die Entwickler der Schadsoftware jedoch kontinuierlich weitere Funktionen ergänzt zu haben. Durch einen Mechanismus zur Selbstaktualisierung sowie eine Reihe inkrementeller Updates "in extrem kurzen Abständen" seien stetig neue Varianten entstanden.
Die meisten infizierten Systeme, zu denen unter anderem Cloudinstanzen von Alibaba, Tencent und Amazon gehören, konnten die Forscher in China (59,8 %), den USA (15 %) und Deutschland (5 %) aufspüren - gefolgt von der Anzahl der Fälle in Singapur, Hongkong, das Vereinigte Königreich und Japan. "P2Pinfect ist sowohl in den Vereinigten Staaten als auch in Europa weit verbreitet und stellt eine ernst zu nehmende Bedrohung für anfällige Systeme auf der ganzen Welt dar" , warnt das Cado-Team.
Welche Schwachstelle die Angreifer für die Verbreitung von P2Pinfect genau ausnutzen, erklären die Forscher nicht. In einem im Juli veröffentlichten Bericht von Unit42(öffnet im neuen Fenster) ist diesbezüglich aber von CVE-2022-0543(öffnet im neuen Fenster) die Rede, einer kritischen Sicherheitslücke, die es böswilligen Akteuren erlaubt, aus der Ferne schadhaften Code auf Redis-Servern auszuführen. Damals hieß es, es seien weltweit nur 934 Systeme anfällig für eine Infektion mit P2Pinfect. Dass die Angreifer inzwischen auch noch andere Schwachstellen ausnutzen, erscheint angesichts der schnellen Verbreitung naheliegend.
Das Ziel der Angreifer bleibt ungewiss
Das Hauptziel der P2Pinfect-Malware sei Cado zufolge noch unklar. Zwar versuche die Schadsoftware eine seit Juli nicht mehr aktualisierte Mining-Nutzlast abzurufen, Hinweise auf tatsächlich erfolgtes Kryptomining fanden die Forscher jedoch bisher nicht. Die Sicherheitsforscher gehen daher davon aus, dass die Entwickler der Malware entweder noch an aktualisierten Mining-Funktionen arbeiten oder dass sie stattdessen beabsichtigen, den Zugang zu ihrem Botnetz an andere Akteure zu verkaufen.