Malware Xbash combina botnet, ransomware e minerador de criptomoedas

Malware Xbash combina botnet, ransomware e minerador de criptomoedas

Os alvos? Servidores Linux e Windows

Pesquisadores da Unidade 42 da Palo Alto Networks descobriram o malware Xbash, que tem como alvo os servidores com Linux e Microsoft Windows.

O malware Xbash possui recursos de ransomware e mineração de moedas. Ele também possui recursos de autopropagação. Ele também tem recursos não implementados atualmente que, quando implementados, podem permitir que ele se espalhe rapidamente dentro da rede de uma organização.

O malware se espalha atacando senhas fracas e vulnerabilidades não corrigidas. O Xbash destrói dados, inclusive bancos de dados baseados em Linux como parte de seus recursos de ransomware. Também não foi encontrada nenhuma funcionalidade no Xbash que permita a restauração após o pagamento do resgate. Isso significa que, semelhante ao NotPetya, o Xbash é um malware destrutivo que se apresenta como um ransomware.

As organizações podem se proteger contra o Xbash:

  • Usando senhas fortes e não padrão.
  • Implementando as atualizações de segurança mais recentes;
  • Implementando a segurança do terminal nos sistemas Microsoft Windows e Linux;
  • Impedindo o acesso a hosts desconhecidos na Internet (para impedir o acesso a servidores de comando e controle);
  • Implementando e mantendo processos e procedimentos de backup e restauração rigorosos e eficazes.

Abaixo estão alguns detalhes mais específicos sobre os recursos do malware Xbash:

  • Combina botnet, mineração de moedas, ransomware e autopropagação.
  • Tem como alvo sistemas baseados em Linux para seus recursos de ransomware e botnet;
  • Destina-se a sistemas baseados no Microsoft Windows para seus recursos de mineração de moedas e autopropagação;
  • O componente de ransomware visa e exclui bancos de dados baseados em Linux.

O Xbash usa três vulnerabilidades conhecidas no Hadoop, Redis e ActiveMQ para autopropagação ou infecção de sistemas Windows.

A análise técnica completa do malware pode ser vista na íntegra aqui (em inglês).


Fonte: Baboo