Uma nova campanha de ataques foi identificada tendo como alvo servidores Redis expostos na internet sem autenticação. A técnica utilizada, conhecida como “Redis write-back abuse”, permite a inserção de comandos maliciosos diretamente no banco de dados, resultando em execução de código arbitrário no host comprometido. O objetivo principal é a instalação de cargas maliciosas para mineração de criptomoedas.
Após o comprometimento inicial, os invasores criam regras de firewall que bloqueiam tentativas de administração e alteram processos do sistema operacional para manter o acesso persistente. Ambientes em nuvem são especialmente vulneráveis, principalmente quando se trata de instâncias utilizadas em testes ou mal documentadas.
A campanha é altamente automatizada e aproveita ferramentas de varredura em larga escala para identificar e explorar alvos rapidamente. Algumas empresas afetadas relataram consumo elevado de recursos e interrupções em sistemas críticos, como APIs e bancos de dados secundários. Especialistas indicam como medidas de mitigação a remoção de permissões públicas no Redis, a adoção de autenticação robusta e a limitação de comandos disponíveis para usuários não autorizados. A negligência na proteção de serviços auxiliares como o Redis tem sido uma das principais portas de entrada para ataques recentes.
