Novo malware, Xbash mira Linux e Windows. Saiba como se proteger

Pesquisadores da Unidade 42 , da Palo Alto Networks, descobriram uma nova família de malware que tem como alvo os servidores Linux e Microsoft Windows. O Xbash, afirmou a empresa de segurança, está associado ao Iron Group, grupo de ameaças anteriormente conhecidos por ataques de ransomware.

O Xbash possui recursos de ransomware e mineração de moedas. Ele também possui recursos de autopropagação (o que significa que possui características parecidas com worm semelhantes a WannaCry ou Petya / NotPetya). Ele também tem recursos não implementados atualmente que, quando implementados, podem permitir que ele se espalhe rapidamente dentro da rede de uma organização (novamente, muito parecido com WannaCry ou Petya / NotPetya).

Como o Xbash funciona?

O Xbash se espalha atacando senhas fracas e vulnerabilidades não corrigidas. O Xbash destrói dados, inclusive bancos de dados baseados em Linux como parte de seus recursos de ransomware. Também não foi encontrada nenhuma funcionalidade no Xbash que permita a restauração após o pagamento do resgate. Isso significa que, semelhante ao NotPetya, o Xbash é um malware destrutivo de dados que se apresenta como um ransomware.

Malware lucrativo

Até o momento, a empresa observou 48 transações de entrada para essas carteiras com receita total de cerca de 0,964 bitcoins, significando que 48 vítimas pagaram cerca de US$ 6 mil no total até o momento. No entanto, não vimos nenhuma evidência de que os resgates pagos resultaram em recuperação para as vítimas.

A companhia de segurança localizou quatro versões diferentes do Xbash até agora. As diferenças de código e data e hora entre essas versões mostram que ainda está em desenvolvimento ativo. A botnet começou a funcionar já em maio de 2018.

De fato, a empresa não conseguiu encontrar evidências de qualquer funcionalidade que possibilite a recuperação por meio do pagamento de resgates. Nossa análise mostra que esse é, provavelmente, um trabalho do Iron Group, um grupo publicamente vinculado a outras campanhas de ransomware, incluindo aquelas que usam Sistema de Controle Remoto, cujo código fonte foi roubado do HackingTeam em 2015.

Recursos do Xbash

• Combina botnet, mineração de moedas, ransomware e autopropagação.
• Tem como alvo sistemas baseados em Linux para seus recursos de ransomware e botnet
• Destina-se a sistemas baseados no Microsoft Windows para seus recursos de mineração de moedas e autopropagação
• O componente de ransomware visa e exclui bancos de dados baseados em Linux

Por que o Xbash é diferente?

Desenvolvido em Python: O Xbash foi desenvolvido usando Python e depois convertido em executáveis Linux ELF independentes, abusando da ferramenta legítima PyInstaller para distribuição.

Alvos: endereços IP e nomes de domínio: Malwares modernos do Linux, como o Mirai ou o Gafgyt, geralmente geram endereços IP aleatórios como destinos de varredura. Por outro lado, o Xbash busca, de seus servidores C2, endereços IP e nomes de domínio para análise e exploração de serviços.

Windows e Linux: ao explorar serviços vulneráveis do Redis, o Xbash também descobrirá se o serviço está sendo executado no Windows ou não. Em caso afirmativo, ele enviará uma carga maliciosa de JavaScript ou VBScript para baixar e executar um coinminer para o Windows.

Funcionalidade de Varredura da Intranet: os autores do Xbash desenvolveram a nova capacidade de varredura de servidores vulneráveis dentro da intranet corporativa. Nós vemos essa funcionalidade nas amostras, mas, curiosamente, ela ainda não foi ativada.

Como se proteger do Xbash?

• Usae senhas fortes e não padrão
• Mantenha-se informado sobre atualizações de segurança
• Implemente a segurança do terminal nos sistemas Microsoft Windows e Linux
• Impeça o acesso a hosts desconhecidos na Internet (para impedir o acesso a servidores de comando e controle)
• Implemente e mantenha processos e procedimentos de backup e restauração rigorosos e eficazes