Campanha RedisRaider explora configurações Redis para mineração de criptomoedas em servidores Linux

Pesquisadores da Datadog Security Labs identificaram uma nova campanha de cryptojacking voltada a servidores Redis expostos publicamente. Batizada de RedisRaider, a operação maliciosa explora comandos legítimos do Redis para inserir tarefas programadas (cron jobs) que instalam malwares em sistemas baseados em Linux. O objetivo final é implantar um minerador de criptomoedas XMRig, controlado por um binário desenvolvido em linguagem Go.

A campanha começa com um scanner personalizado que percorre faixas aleatórias do espaço IPv4 em busca de servidores Redis acessíveis publicamente. Ao encontrar um alvo, os hackers emitem o comando INFO para verificar se o servidor está rodando em um ambiente Linux. Confirmada essa condição, eles abusam do comando SET do Redis para injetar um cron job malicioso. Em seguida, alteram o diretório de trabalho do Redis para /etc/cron.d usando o comando CONFIG, escrevendo um arquivo chamado "apache" com comandos codificados em Base64. Esses comandos baixam o binário RedisRaider de um servidor remoto e iniciam a instalação do minerador XMRig.

O malware não apenas realiza mineração em um único servidor, mas também tenta se propagar para outras instâncias Redis vulneráveis, ampliando a escala da campanha. Além disso, a infraestrutura do RedisRaider hospeda um minerador Monero baseado em navegador, indicando uma abordagem multifacetada para gerar receita. A campanha ainda utiliza técnicas de antiforense, como tempos de vida (TTL) curtos para chaves e alterações na configuração do banco de dados, com o intuito de dificultar a detecção e a análise posterior.

Paralelamente, a empresa Guardz revelou outra campanha cibernética que explora protocolos de autenticação legados no Microsoft Entra ID, com foco na técnica BAV2ROPC (Basic Authentication Version 2 - Resource Owner Password Credential). O objetivo dos hackers era contornar mecanismos de segurança modernos como autenticação multifator (MFA) e políticas de acesso condicional. A atividade, registrada entre março e abril de 2025, concentrou ataques especialmente em contas administrativas, com mais de 9.800 tentativas registradas a partir de 432 endereços IP em apenas 8 horas.

A origem desses ataques foi majoritariamente do Leste Europeu e da região Ásia-Pacífico. Segundo a Guardz, os invasores demonstraram conhecimento avançado sobre sistemas de identidade e autenticação. Diante desse cenário, a recomendação é desativar protocolos legados como BAV2ROPC, bloquear autenticação antiga via políticas de Acesso Condicional e desabilitar o SMTP AUTH no Exchange Online quando não estiver em uso.

Via - THN