Pesquisadores da Datadog Security Labs identificaram uma nova campanha maliciosa voltada para servidores Redis expostos na internet. Nomeada RedisRaider, essa operação utiliza um malware desenvolvido em Go para explorar configurações vulneráveis do Redis, permitindo a instalação silenciosa de um minerador de criptomoedas em máquinas Linux.
Campanha RedisRaider compromete servidores Redis e implanta XMRig em Linux
A estratégia dos criminosos é sofisticada: eles usam um scanner personalizado para localizar servidores Redis acessíveis publicamente e, ao detectar que estão em um ambiente Linux, aproveitam comandos legítimos como INFO, SET e CONFIG para inserir tarefas agendadas maliciosas no sistema.
Uma vez identificado um alvo, o malware altera o diretório de trabalho do Redis para o /etc/cron.d, onde grava um arquivo chamado “apache”. Esse arquivo funciona como um gatilho para o agendador cron, que executa um script codificado em Base64. O script, por sua vez, baixa e instala a carga útil RedisRaider, que atua como um conta-gotas para o minerador XMRig personalizado.
Além da mineração local, o RedisRaider é capaz de se espalhar automaticamente para outros servidores Redis vulneráveis, ampliando o impacto da campanha. A infraestrutura da ameaça ainda hospedava um minerador Monero baseado na web, evidenciando uma abordagem multicanal para obtenção de lucros.
Os operadores da campanha também implementaram mecanismos antiforenses discretos, como tempos de vida (TTL) curtos para chaves Redis e alterações de configuração que dificultam a análise posterior, tornando a detecção ainda mais difícil.
Outra ameaça: ataques contra autenticação legada no Microsoft Entra ID
No mesmo período, a empresa Guardz divulgou detalhes de uma campanha de força bruta contra contas da Microsoft que utilizam protocolos de autenticação antigos. O ataque, realizado entre março e abril de 2025, se valeu do protocolo BAV2ROPC (Basic Authentication Version 2 – Resource Owner Password Credential) para contornar medidas modernas como autenticação multifator (MFA).
Segundo a Guardz, os atacantes — principalmente originados da Europa Oriental e da Ásia-Pacífico — focaram em comprometer contas privilegiadas, como as de administradores e caixas de correio compartilhadas. Foram registradas mais de 50 mil tentativas de login, sendo que apenas para contas de administradores, foram observadas 9.847 tentativas vindas de 432 IPs, com uma média de mais de 1.200 acessos por hora.
Esse padrão revela uma operação altamente automatizada e direcionada, com foco em escalar privilégios ao comprometer contas sensíveis. O uso recorrente de protocolos antigos como o BAV2ROPC mostra como falhas legadas ainda representam riscos significativos, mesmo em ambientes corporativos modernos.
Em 2021, a Microsoft já havia alertado para campanhas de comprometimento de e-mail empresarial (BEC) que usavam protocolos como BAV2ROPC, IMAP e POP3 para burlar defesas como MFA e acessar dados confidenciais.
Recomendações de mitigação
Para reduzir os riscos:
- Bloqueie autenticações legadas com políticas de acesso condicional.
- Desative BAV2ROPC, caso não seja essencial ao ambiente.
- Desabilite SMTP AUTH no Exchange Online se estiver inativo.
Além disso, é crucial que administradores mantenham os serviços Redis protegidos por firewalls, autenticação forte e restrição de acesso por IP, evitando a exposição pública desnecessária.
