In der Welt der Cybersicherheit verzeichnen Forscher immer wieder neue, raffinierte Angriffsvektoren, die insbesondere auf Server mit offenen Ports und schlecht konfigurierten Diensten zielen. Jüngst hat die Sicherheitsgemeinschaft auf eine hochentwickelte Malware-Kampagne aufmerksam gemacht, die „RedisRaider“ genannt wird und deren Hauptziel die Infizierung von Linux-Servern mittels Kryptojacking ist. Dabei setzt die Malware gezielt auf öffentlich zugängliche Redis-Server, die für die Angreifer ein leichtes Einfallstor darstellen. Redis, eine populäre In-Memory-Datenstruktur-Datenbank, wird meist für Caching oder als Message Broker eingesetzt und ist oft durch fehlende Authentifizierung exponiert.Die RedisRaider-Kampagne nutzt ein cleveres Verfahren, bei dem ein eigens entwickelter Scanner im IPv4-Adressraum nach öffentlich erreichbaren Redis-Instanzen sucht.
Sobald eine solche Instanz identifiziert ist, erfolgt eine prüfende Abfrage mittels des INFO-Kommandos, um sicherzustellen, dass der Redis-Server auf einem Linux-basierten System läuft. Diese Prüfung ist entscheidend, weil das anschließende Einschleusen eines schädlichen Cronjobs nur auf Linux-Systemen funktioniert.Im Kern manipuliert die Malware die Redis-Konfiguration, indem sie das Arbeitsverzeichnis auf /etc/cron.d ändert und dort eine Datenbankdatei namens „apache“ abspeichert. Durch diese Methode wird automatisch ein von der Cron-Planung periodisch ausgeführtes Skript gestartet, das in Base64 kodiert ist.
Dieses Skript lädt die eigentliche Schadsoftware, den sogenannten RedisRaider-Binärdatei-Dropper, aus einer externen Quelle herunter und startet diesen. Die Payload ist in der Programmiersprache Go geschrieben und dient als Grundlage für das Ausbringen des Monero-Miners XMRig.XMRig zählt zu den bekanntesten Open-Source-Mining-Tools für Kryptowährungen, insbesondere Monero, und wird von Angreifern häufig eingesetzt, um die Rechenleistung ungewollt infizierter Systeme für ihre eigenen wirtschaftlichen Zwecke auszunutzen. Durch den Einsatz einer auf Go basierenden Malware gelingt es den Angreifern, plattformübergreifend, modular und relativ schwer zu analysieren ihre Schadsoftware zu verbreiten. Gleichzeitig ermöglicht der Code der Malware eine Weiterleitung der Infektion auf weitere exponierte Redis-Instanzen, wodurch eine rasante Verbreitung sichergestellt wird.
Die Absicherung von Redis-Servern gehört zu den zentralen Empfehlungen, da viele Systeme standardmäßig ungeschützt sind oder nur unzureichend gesichert wurden. Die RedisRaider-Kampagne zeigt exemplarisch, wie gefährlich es sein kann, wenn Redis-Server ohne Passwortschutz direkt aus dem Internet erreichbar sind. Die Angreifer dringen so ohne Umwege ein und etablieren persistente Schadsoftware auf den Systemen. Besonders kritisch: Die Schadsoftware setzt gezielt auf eine Kombination aus legitimen Redis-Kommandos wie SET, CONFIG und INFO, um ihre Aktionen durchzuführen. So wird es für herkömmliche Sicherheitslösungen schwieriger, bösartige Aktivitäten frühzeitig zu erkennen.
Neben der Verbreitung des XMRig-Miners betreibt RedisRaider außerdem einen webbasierten Monero-Miner, der zusätzlich als Einnahmequelle fungiert. Diese mehrgleisige Monetarisierungsstrategie erhöht den wirtschaftlichen Schaden, den die Täter an den betroffenen Netzwerken und Servern anrichten. Um die Entdeckung zu erschweren, nutzt die Kampagne Anti-Forensik-Techniken wie kurze Zeiträume für Schlüssel-Lebenszyklen (TTL) innerhalb der Redis-Datenbank und ändert konfigurative Parameter, um Spuren minimal zu hinterlassen.Die erhöhte Aktivität von RedisRaider dokumentiert den Trend, dass Cyberkriminelle vermehrt auf offen zugängliche, schlecht gesicherte Dienste abzielen. Insbesondere Redis-Server sind durch ihre häufig fehlende oder unzureichende Absicherung ein attraktives Ziel.
Diese Tatsache fordert von Betreibern und Sicherheitsverantwortlichen verstärkte Aufmerksamkeit in Bezug auf Zugriffsrechte, Netzwerkkonfigurationen und regelmäßige Sicherheitsüberprüfungen.Sicherheitsforscher empfehlen dringend, Redis-Instanzen niemals ohne passende Authentifizierung direkt ins Internet zu stellen. Zusätzliche Maßnahmen wie IP-Zugriffsbeschränkungen, Firewall-Policies oder die Nutzung VPN-Tunnel können das Risiko unbefugter Zugriffe deutlich verringern. Darüber hinaus sollten Administrierende Skripte und Cronjobs auf unautorisierten Zusatzinhalt prüfen und die Systemlogs aufmerksam auswerten.Neben dem Schutz von Redis betrifft die zunehmende Bedrohungslage durch Kryptojacking auch allgemein Linux-Infrastrukturen.
Angreifer setzen verstärkt auf Mining-Malware, weil Kryptowährungen weiterhin hohe Gewinne versprechen und das Aufdecken von Mining-Themen oftmals später erfolgt als bei klassischer Schadsoftware. Die redispezifische Natur von RedisRaider macht jedoch deutlich, dass Dienste mit Standardkonfiguration und ohne umfassende Härtung besonders gefährdet sind.Aus Sicht der Cybersicherheitsbranche unterstreicht RedisRaider einmal mehr den Wert von Threat Intelligence und proaktiver Überwachung. Die Integration von Scanner-basierten Erkennungswerkzeugen, regelmäßigen Penetrationstests und Netzwerküberwachung kann dazu beitragen, solche Angriffsstrukturen frühzeitig zu identifizieren und Gegenmaßnahmen umzusetzen. Auch das schnelle Patchen, Aktualisieren und die korrekte Konfiguration von Softwarekomponenten ist unverzichtbar.
Im Kontext der zunehmenden Komplexität von Angriffsmethoden empfehlen Experten zudem, die Nutzung von Legacy-Protokollen und unsicheren Schnittstellen kritisch zu überprüfen. Der parallele Bericht über Angriffe auf Microsoft Entra ID, bei denen über veraltete Authentifizierungsprotokolle versucht wurde, auf Admin-Konten Zugriff zu erlangen, zeigt, dass Cyberkriminelle vielfältige Wege nutzen, um Ressourcen zu kompromittieren. Das Abschalten nicht mehr benötigter Funktionen, die Einführung von mehrstufigen Sicherheitsmechanismen und das Schließen alter Zugangswege sind daher ebenfalls Teil einer ganzheitlichen Sicherheitsstrategie.Besonders Linux-Anwendungen, die in Unternehmensumgebungen eingesetzt werden, sollten daher regelmäßig auf verdächtige Prozesse untersucht werden. Monitoring-Tools, die speziell auf Mining-Aktivitäten ausgelegt sind, können automatisch ungewöhnliche CPU- und Netzwerklasten signalisieren.
So lässt sich merklicher Ressourcenverbrauch früh erkennen und ein zeitnaher Eingriff vorbereiten.Die RedisRaider-Kampagne verdeutlicht, wie sich Angreifer immer effektiver auf verbreitete, aber oft falsch konfigurierte Systeme konzentrieren. Die Kombination aus intelligentem Scanning, der Ausnutzung legitimer Redis-Kommandos und der Auslieferung einer Go-basierten Schadsoftware, welche neben Schadfunktionen auch eine Selbstverbreitung implementiert hat, markiert einen Wendepunkt für die Sicherheit von Linux-Servern.Betreiber sollten umgehend Maßnahmen ergreifen, ihre Netzinfrastruktur systematisch zu analysieren, offene Redis-Dienste entweder komplett vom Zugriff aus dem öffentlichen Internet abzuschotten oder zumindest durch eine robuste Authentifizierung sowie Verschlüsselung zu schützen. Zudem empfiehlt sich eine ständige Weiterbildung der IT-Teams bezüglich aktueller Bedrohungen und die Zusammenarbeit mit Security-Anbietern, die laufend aktualisierte Erkennungs- und Abwehrmechanismen bereitstellen.
Im Ergebnis zeigt sich, dass der Schutz vor solcher Malware auch einen ganzheitlichen Ansatz erfordert, der nicht nur auf die Abwehr technischer Einzelprobleme abzielt, sondern auch organisatorische und prozessuale Aspekte mit einschließt. Nur durch diese umfassende Strategie lässt sich der Sicherheit von Linux-Systemen im Zeitalter immer raffinierterer Bedrohungen nachhaltig Rechnung tragen. RedisRaider steht beispielhaft für die Gefahren potenziell unsichere Dienste bergen und mahnt Betreiber an, konsequent die Angriffsflächen auf ein Minimum zu reduzieren.
