HeadCrab: Neuartige Malware greift Redis-Datenbank-Server an

Aqua Security, der führende Anbieter von Cloud-Native-Security, warnt vor einer neuen, schwer zu fassenden und schwerwiegenden Bedrohung. Die Forschungseinheit von Aqua, Team Nautilus, entdeckte eine neue, hochmoderne und maßgeschneiderte Malware einer neuen Gruppe, die sich „HeadCrab“ nennt. Die Malware dringt in Redis-Datenbank-Server ein und hält sich fortan in diesen meist komplett unentdeckt auf, da sie von agentenlosen und herkömmlichen Antivirenlösungen offenbar nicht erkannt werden kann. So konnte die HeadCrab-Malware bereits seit September 2021 weltweit eine hohe Anzahl von Redis-Server kompromittieren und bis dato die Kontrolle über mindestens 1.200 Server übernehmen.

Redis In-Memory-Datenbanken – weit verbreitet und anfällig für unbefugten Zugriff

Redis ist ein Open-Source-Speicher für In-Memory-Datenstrukturen, der als Datenbank, Cache oder Nachrichtenbroker verwendet werden kann. Laut DB-Engines ist Redis der am meisten verbreitete Schlüssel-Werte-Speicher, insbesondere weil Redis für diesen Zweck schneller ist als relationale Datenbanken wie beispielsweise MySQL. Redis-Server sind deshalb verwundbar, weil sie ursprünglich nur in einem sicheren, geschlossenen Netzwerk laufen sollten, anstatt dem Internet ausgesetzt zu sein. Deswegen ist bei ihnen die Authentifizierung standardmäßig nicht aktiviert. Dies macht Redis-Server, die über das Internet zugänglich sind, anfällig für unbefugten Zugriff und die Ausführung von Befehlen.

Maßnahmen zum Schutz vor HeadCrab

Aqua Security hat einen detaillierten Blog-Beitrag über HeadCrab erstellt, der hier zu finden ist. Darin werden die Einzelheiten des HeadCrab-Angriffs erläutert – inklusive der verwendeten Techniken der Malware, um unerkannt zu bleiben. Unternehmen, die Redis-Server im Einsatz haben, finden in dem Beitrag detaillierte Maßnahmen, die sie zum Schutz ihrer Systeme ergreifen können.