A escalada da inteligência artificial traz consigo novos e lucrativos alvos para cibercriminosos, e a mais recente ameaça, ShadowRay 2.0, é um exemplo alarmante. Logo no primeiro parágrafo, é essencial destacar que o problema nasce da vulnerabilidade da Ray Framework, uma falha estrutural que afeta diretamente milhares de ambientes de IA expostos na internet. Trata-se de um cenário crítico, envolvendo a exploração do CVE-2023-48022, uma brecha de autenticação que permite controle remoto total sobre os clusters. A botnet utiliza esse vetor para sequestrar servidores de IA, explorar GPUs NVIDIA para mineração e criar uma infraestrutura distribuída de ataques.
O objetivo deste artigo é detalhar como a botnet opera, explicar as falhas de design no Ray, mostrar o mecanismo de autopropagação que transforma ShadowRay 2.0 em um worm altamente eficiente e, principalmente, apresentar as ações urgentes que administradores devem adotar para proteger seus ambientes. Também analisamos como o ataque usa o minerador XMRig, técnicas de evasão avançadas e a expansão para ataques DDoS.
O contexto é extremamente preocupante. A vulnerabilidade, com CVSS 9.8, não foi corrigida por design, o que significa que a proteção depende exclusivamente de configurações adequadas de rede e isolamento. Estima-se que mais de 230.500 servidores Ray estejam expostos globalmente, criando um campo fértil para ataques automatizados que se espalham de forma quase instantânea entre instâncias vulneráveis.
A ameaça ShadowRay 2.0 e o sequestro de clusters de IA
A versão ShadowRay 1.0 já utilizava o Ray para mineração clandestina, mas o ShadowRay 2.0 amplia significativamente seu poder destrutivo. O ataque não explora uma falha nova, e sim uma combinação de práticas inadequadas de segurança e da decisão de design original do Ray, que deixou endpoints críticos sem autenticação. Para entender a gravidade, é preciso compreender o Ray Framework e seu papel como solução de orquestração distribuída de IA/ML, responsável pela execução de workloads paralelos em clusters de máquinas. Quando exposto à internet sem isolamento adequado, sua API de envio de tarefas, localizada normalmente em /api/jobs/, pode ser controlada sem qualquer verificação de identidade. Essa combinação transforma o Ray em um alvo perfeito para um ataque automatizado que injeta código remoto e executa carga maliciosa diretamente nos nós do cluster. Por isso o tema da segurança da Ray Framework tem ganhado tanta atenção entre profissionais de DevOps e MLOps.
O funcionamento da falha CVE-2023-48022
A vulnerabilidade CVE-2023-48022 não é exatamente um bug, mas uma decisão de projeto do Ray, onde endpoints críticos nunca receberam um mecanismo interno de autenticação. O Ray presume que todo acesso ao painel e aos endpoints aconteça em uma rede interna e segura. Isso significa que, quando o Ray é exposto à internet por erro de configuração, a API aceita comandos sem restrições, permitindo que atacantes executem tarefas arbitrárias, façam upload de contêineres maliciosos e implantem scripts que se espalham pelo cluster. Como resultado, o isolamento de rede não é apenas uma recomendação, é a proteção primária e indispensável. Sem isso, qualquer atacante pode enviar um job, iniciar contêineres maliciosos, drenar recursos de GPU e comprometer todo o ambiente.
A autopropagação e os payloads maliciosos
O ShadowRay 2.0 utiliza a própria lógica distribuída do Ray para se mover lateralmente e comprometer outros nós. Seu modelo de autopropagação funciona como um worm moderno que identifica novos servidores Ray expostos, tenta conexão direta nos endpoints abertos e replica seu payload automaticamente. Ele também utiliza repositórios comprometidos no GitHub e GitLab, onde scripts maliciosos são baixados e executados rapidamente, permitindo que o malware se espalhe em larga escala. Esse comportamento de “spray and pray” é eficiente porque a tarefa enviada ao Ray automaticamente se replica pelos nós trabalhando no cluster, transformando cada novo servidor vulnerável em um multiplicador de ataques. A botnet baixa um conjunto de scripts, instala XMRig, configura o uso de GPU para mineração e estabelece persistência por meio de serviços do sistema. Tudo é projetado para operar silenciosamente enquanto consome a capacidade computacional do cluster.
Táticas de evasão e o uso multifuncional da botnet
O ShadowRay 2.0 implementa técnicas de evasão bastante sofisticadas. Ele disfarça o minerador usando nomes de processos semelhantes a serviços de kernel, limita o uso de CPU em torno de 60% para não gerar alertas de monitoramento e utiliza estratégias específicas para explorar GPUs NVIDIA, onde o ganho com mineração é muito maior. Outro comportamento observado é a eliminação de mineradores concorrentes. Assim que o ShadowRay se instala, ele verifica a existência de outros processos de mineração, encerra essas instâncias e assume o controle total dos recursos do cluster. Há indícios crescentes de que alguns segmentos do código malicioso tenham sido gerados com suporte de LLMs, o que acelera o desenvolvimento das versões mais recentes e torna a detecção ainda mais desafiadora.
A escalada para ataques de negação de serviço
Além da mineração, pesquisadores identificaram o uso de módulos DDoS incorporados ao ShadowRay 2.0. A botnet utiliza técnicas herdadas do antigo sockstress, um método capaz de exaurir recursos de rede e derrubar serviços rapidamente. O alvo mais comum é a porta 3333, usada em diversas infraestruturas e serviços expostos. Isso transforma o ShadowRay em uma operação multifuncional, que pode alternar entre cryptojacking silencioso e ataques DDoS contra alvos corporativos ou governamentais. Essa capacidade híbrida aumenta o perigo e torna a botnet atraente para grupos criminosos interessados em monetizar o ataque de diferentes formas.
Mitigações e o essencial isolamento de rede para o Ray
A mitigação do CVE-2023-48022 depende completamente das práticas de segurança aplicadas pelos administradores. Como a vulnerabilidade não possui correção nativa no Ray, a única proteção efetiva é o isolamento de rede. É indispensável impedir que endpoints de administração e envio de tarefas fiquem acessíveis diretamente pela internet. A configuração adequada garante que o cluster só possa ser acessado por hosts autorizados, prevenindo exploração remota e eliminando o vetor principal da botnet.
Soluções imediatas para proteger seu cluster Ray
Para proteger ambientes Ray, algumas medidas devem ser aplicadas imediatamente. O primeiro passo é utilizar a ferramenta Ray Open Ports Checker, que identifica portas e endpoints expostos e mostra o que está vulnerável no cluster. O segundo passo é criar regras de firewall no nível da nuvem ou da infraestrutura local, permitindo acesso apenas para endereços confiáveis. Adicionalmente, é fundamental implementar autenticação externa para o painel Ray, normalmente na porta 8265, utilizando proxies reversos, túneis SSH, redes privadas ou regras de VPN. Também é recomendável monitorar processos suspeitos, identificar atividades do XMRig e auditar todas as execuções recentes realizadas via API do Ray, especialmente as que ocorreram por meio de scripts automatizados. Finalmente, mantenha logs centralizados e configure alertas para qualquer acesso externo ao painel. Essa visibilidade é vital para impedir que ShadowRay 2.0 se instale e se propague.
Garanta que sua infraestrutura de Machine Learning não se torne o próximo alvo. Verifique agora mesmo as portas expostas, aplique as mitigações recomendadas e fortaleça o isolamento de rede do seu ambiente Ray, evitando que suas GPU NVIDIA sejam sequestradas para atividades maliciosas e que seu cluster entre para a botnet ShadowRay.
