Výkupnú správu vytvoril Xbash v databáze MySQL
Nový malware známy ako „ Xbash “Objavili vedci z oddelenia 42, nahlásil príspevok na blogu v spoločnosti Palo Alto Networks . Tento malware je jedinečný svojou mierou zacielenia a ovplyvňuje súčasne servery Microsoft Windows a Linux. Vedci z jednotky 42 spojili tento malware s Iron Group, čo je skupina aktérov ohrozenia, ktorá bola predtým známa pre útoky ransomvéru.
Podľa príspevku na blogu má Xbash možnosti ťažby, šírenia a ransonware. Má tiež niektoré schopnosti, ktoré keď sa implementujú, môžu umožniť malware sa šíriť pomerne rýchlo v sieti organizácie podobným spôsobom ako WannaCry alebo Petya / NotPetya.
Charakteristika Xbash
Vedci z Unit 42 v súvislosti s charakteristikami tohto nového malvéru napísali: „Nedávno Unit 42 použil Palo Alto Networks WildFire na identifikáciu novej rodiny malvérov zameraných na servery Linux. Po ďalšom vyšetrovaní sme si uvedomili, že ide o kombináciu botnetu a ransomvéru, ktorú tento rok vyvinula aktívna skupina Cybercrime Iron (alias Rocke). Tento nový malware sme pomenovali „Xbash“ na základe názvu pôvodného hlavného modulu škodlivého kódu. “
Skupina Iron Group sa predtým zameriavala na vývoj a šírenie únosov transakcií s kryptomenami alebo ťažby trójskych koní, ktoré boli väčšinou určené na zacielenie na systém Microsoft Windows. Xbash je však zameraný na objavenie všetkých nechránených služieb, odstránenie používateľských databáz MySQL, PostgreSQL a MongoDB a výkupné za bitcoiny. Tri známe chyby zabezpečenia, ktoré Xbash používa na infikovanie systémov Windows, sú Hadoop, Redis a ActiveMQ.
Xbash sa šíri hlavne zameraním na všetky neopravené chyby zabezpečenia a slabé heslá. to je dátovo deštruktívne , čo znamená, že ako schopnosti ransomvéru ničí databázy založené na systéme Linux. V systéme Xbash tiež nie sú k dispozícii žiadne funkcie, ktoré by obnovili zničené údaje po vyplatení výkupného.
Oproti predchádzajúcim slávnym linuxovým botnetom, ako sú Gafgyt a Mirai, je Xbash linuxový botnet novej úrovne, ktorý rozširuje svoj cieľ na verejné webové stránky, pretože zacieľuje na domény a IP adresy.
Xbash generuje zoznam adries IP v podsieti obete a vykonáva skenovanie portov (Palo Alto Networks)
Existuje niekoľko ďalších špecifík schopností malware:
- Disponuje možnosťami botnetu, mincovníctva, ransomvéru a vlastnej propagácie.
- Svojimi schopnosťami ransomvéru a botnetu sa zameriava na systémy založené na systéme Linux.
- Zameriava sa na systémy založené na systéme Microsoft Windows pre svoje schopnosti ťažby a šírenia mincí.
- Komponent ransomvér zacieľuje a odstraňuje databázy založené na systéme Linux.
- K dnešnému dňu sme pozorovali 48 prichádzajúcich transakcií do týchto peňaženiek s celkovým príjmom asi 0,964 bitcoinov, čo znamená, že 48 obetí zaplatilo spolu asi 6 000 USD (v čase písania tohto článku).
- Neexistujú však dôkazy o tom, že by zaplatené výkupné malo za následok zotavenie obetí.
- V skutočnosti nenájdeme nijaké dôkazy o funkčnosti, ktorá umožňuje zotavenie prostredníctvom výkupného.
- Naša analýza ukazuje, že je to pravdepodobne práca skupiny Iron Group, ktorá je verejne prepojená s inými kampaňami zameranými na ransomvér, vrátane tých, ktoré používajú systém diaľkového ovládania (RCS), ktorého zdrojový kód bol údajne ukradnutý z „ HackingTeam ”V roku 2015.
Ochrana proti Xbash
Organizácie môžu použiť niektoré techniky a tipy poskytnuté výskumníkmi na Jednotke 42, aby sa ochránili pred možnými útokmi Xbash:
- Používanie silných, predvolených hesiel
- Udržiavanie aktuálnych informácií o bezpečnostných aktualizáciách
- Implementácia zabezpečenia koncových bodov v systémoch Microsoft Windows a Linux
- Prevencia prístupu k neznámym hostiteľom na internete (zabránenie prístupu k príkazovým a riadiacim serverom)
- Implementácia a údržba dôsledných a efektívnych procesov a postupov zálohovania a obnovy.
