Neue HeadCrab-Version nimmt Redis-Server noch schärfer unter Attacke

Die kriminelle Kampagne rund um HeadCrab ist seit September 2021 aktiv und hat bis Anfang 2023 weltweit bereits 1.200 Server infiziert, um sie für Cryptojacking zu nutzen. Jetzt haben die Sicherheitsexperten des Teams Nautilus von Aqua eine neue Version der HeadCrab-Malware entdeckt, die über fortschrittlichere Mechanismen verfügt. Die fortlaufenden Untersuchungen von Nautilus zeigen, dass sich die Situation seit der Entdeckung im letzten Jahr nicht verbessert hat. Tatsächlich konnten die Kriminellen die Anzahl der infizierten Redis-Server fast verdoppeln.

Interessanterweise stießen die Experten von Team Nautilus während ihrer Untersuchung von HeadCrab bereits in der ersten Version der Malware auf einen Mini-Blog im Code. In diesem Blog diskutieren die Kriminellen die Strategien ihrer Kampagne, geben spezifische Hinweise auf damit verbundene Ereignisse und scheuen sich nicht, Seitenhiebe gegen ihre Gegner vom Team Nautilus zu verteilen. Dieser Blog hat sich zu einer wichtigen Informationsquelle über HeadCrab entwickelt, die Einblicke direkt aus der Sicht der Angreifer bietet.

In der ersten Version von HeadCrab, die Nautilus Anfang 2023 entdeckte, wurde Aqua in diesem Mini-Blog erwähnt und auf einen früheren Blogbeitrag von Nautilus verwiesen. In der neuen Version der Malware erwähnen die Akteure Nautilus erneut und äußern sich direkt zu ihnen: „…basically I agree: i mine cuz it almost doesn’t harm human life and feelings (if done right), but its a parasitic and inefficient way of making $. In fact 80% of such systems are already mining, but this is not an excuse: ppl are motivated, and if kicked out, will mine somewhere else“.

Den kompletten Mini-Blog und daraus Ableitungen von Team Nautilus sowie eine komplette technische Analyse von HeadCrab 2.0 finden sich hier.