Redis-серверы по всему миру превращаются в криптофермы из-за простой команды INFO

Весной 2025 года специалисты в области кибербезопасности зафиксировали новую волну атак на открытые Redis-серверы. Кампания, получившая название RedisRaider, использует минимальные привилегии и встроенные команды сервиса для установки вредоносного ПО. При помощи обычной команды INFO злоумышленники определяют операционную систему, на которой работает Redis, и если это Linux — в систему встраивается майнер криптовалюты Monero.

Сценарий атаки прост, но эффективен. После получения доступа к Redis, злоумышленники меняют рабочую директорию сервиса на системную папку cron и внедряют туда файл, который внешне выглядит как обычная база данных. На деле он содержит вредоносный Bash-скрипт, который скачивает исполняемый бинарный файл RedisRaider. Далее происходит автоматический запуск кастомизированного майнера XMRig, и сервер начинает добывать криптовалюту, расходуя ресурсы жертвы.

Особую опасность представляет способность RedisRaider к горизонтальному распространению. После заражения одной машины вредоносный код сканирует сеть на предмет других уязвимых Redis-инстансов, встраиваясь в них по аналогичной схеме. Это позволяет злоумышленникам быстро масштабировать свою криптовалютную инфраструктуру, зачастую без ведома администраторов систем. В дополнение к этому вредонос внедряет веб-интерфейс для контроля добычи, обеспечивая полный удалённый доступ к зараженному оборудованию.

По данным экспертов, основная активность зафиксирована со стороны IP-адресов из Восточной Европы и стран АТР. Атакующие вели массовый перебор паролей и учетных записей, в том числе административных. По некоторым оценкам, только за последние недели было произведено свыше 60 тысяч попыток взлома. Инцидент поднимает вопрос о безопасности открытых сервисов и необходимости жёсткой изоляции внутренних компонентов корпоративной ИТ-инфраструктуры.