
P2PInfect, à l’origine un botnet malveillant peer-to-peer dormant aux motivations peu claires, a finalement pris vie pour déployer un module de ransomware et un cryptomineur dans les attaques sur les serveurs Redis.
Selon Cado Security, qui suit P2PInfect depuis un certain temps maintenant, il existe des preuves que le logiciel malveillant fonctionne comme un « botnet à louer », bien que des informations contradictoires empêchent les chercheurs de tirer des conclusions sûres pour le moment.
Arrière-plan P2PInfect
P2PInfect a été documenté pour la première fois en juillet 2023 par les chercheurs de l’Unité 42, ciblant les serveurs Redis à l’aide de vulnérabilités connues.
L’examen ultérieur du logiciel malveillant par Cado Security a révélé qu’il exploitait une fonctionnalité de réplication Redis pour se propager.
Entre août et septembre 2023, P2PInfect a augmenté son activité à des milliers de tentatives de violation hebdomadaires tout en introduisant de nouvelles fonctionnalités telles que des mécanismes de persistance basés sur cron, des systèmes de communication de secours et le verrouillage SSH.
Malgré cette activité élevée, P2PInfect n’a effectué aucune action malveillante sur les systèmes compromis, de sorte que ses objectifs opérationnels sont restés flous.
En décembre 2023, une nouvelle variante P2PInfect a été découverte par les analystes de Cado, conçue pour cibler les processeurs MIPS (Microprocesseur sans étages en pipeline imbriqués) 32 bits présents dans les routeurs et les appareils IoT.
Nouveaux modules, objectifs flous
Cado rapporte qu’à partir du 16 mai 2024, les appareils infectés par P2PInfect ont reçu une commande pour télécharger et exécuter une charge utile de ransomware (rsagen) à partir d’une URL spécifiée, la commande étant valide jusqu’au 17 décembre 2024.

Au lancement, le binaire du ransomware vérifie l’existence d’une demande de rançon (« Vos données ont été verrouillées!.txt ») pour éviter de rechiffrer les systèmes compromis.
Le ransomware cible les fichiers avec des extensions spécifiques liées aux bases de données (SQL, SQLITE3, DB), aux documents (DOC, XLS) et aux fichiers multimédias (MP3, WAV, MKV) et ajoute le ‘.extension cryptée » aux fichiers résultants.
Le ransomware parcourt tous les répertoires, crypte les fichiers et stocke une base de données de fichiers cryptés dans un fichier temporaire avec le’.extension des fichiers verrouillés.
Les dommages causés par le module ransomware sont contenus par son niveau de privilège, qui est limité à celui de l’utilisateur Redis compromis et aux fichiers auxquels il a accès. De plus, comme Redis est souvent déployé en mémoire, peu de choses au-delà des fichiers de configuration sont éligibles pour le chiffrement.

Le mineur XMR (Monero) vu dormant dans les itérations précédentes a maintenant été activé, déposé dans un répertoire temporaire et lancé cinq minutes après le démarrage de la charge utile principale.
Le portefeuille préconfiguré et le pool de minage dans les échantillons examinés ont jusqu’à présent généré 71 XMR, soit environ 10 000$, mais Cado dit qu’il y a de fortes chances que les opérateurs utilisent des adresses de portefeuille supplémentaires.
Une caractéristique particulière du nouveau P2PInfect est que le mineur est configuré pour utiliser toute la puissance de traitement disponible, entravant souvent le fonctionnement du module ransomware.
Il convient également de noter un nouveau rootkit en mode utilisateur qui permet aux robots P2PInfect de cacher leurs processus et fichiers malveillants aux outils de sécurité, en détournant plusieurs processus pour parvenir à cette dissimulation.
Bien que le rootkit soit théoriquement capable de masquer les opérations sur les fichiers, les événements d’accès aux données et les connexions réseau, son efficacité est à nouveau limitée par le déploiement Redis (typique) en mémoire.
Les recherches de Cado sur la question de savoir si P2PInfect est loué à plusieurs cybercriminels ou exploité par une équipe centrale n’ont pas été concluantes, et les preuves soutiennent les deux scénarios.
Le principal point à retenir est que P2PInfect n’est plus une expérience mais une véritable menace pour les serveurs Redis, capables de détruire des données et de détourner des ressources de calcul à des fins lucratives.