Новые вредоносные программы объединяют Ransomware, майнеры и ботнеты

Новые вредоносные программы объединяют Ransomware, майнеры и ботнеты

Оригинал

Пользователям Windows и Linux нужно быть осторожными, так как обнаружено разрушительное вредоносное ПО, которое включает в себя множество вредоносных программ, включая ransomware, криптовалютный майнер, бот-сеть и самораспространяющийся червь, предназначенный для Linux и Windows.

Новая вредоносная программа получила название XBash. Как полагают ее авторы Iron Group, известная как группа Rocke — группа известная из-за предыдущих кибератак, в которой участвуют  вымогатели  и  криптовалютные майнеры .

По словам исследователей из Palo Alto Networks, которые  обнаружил и вредоносное ПО, XBash — это вредоносное ПО класса all-in-one, в котором реализованы возможности интеллектуального анализа данных и криптовалюта, а также червь, подобный  WannaCry или Petya /  NotPetya .

Помимо возможностей самораспространения, XBash также содержит еще не реализованные функциональные возможности, что позволяет быстро распространять вредоносное ПО в сети организации. Разработанная на Python, XBash охотится за уязвимыми или незащищенными веб-службами и удаляет базы данных, такие как MySQL, PostgreSQL и MongoDB, работающие на серверах Linux, в рамках своих возможностей для получения вымогательства.

Важно: оплата выкупа не принесет вам ничего!

Xbash был разработан для сканирования сервисов на целевом IP-адресе как на TCP, так и на UDP-портах, таких как HTTP, VNC, MySQL / MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle Database, CouchDB, Rlogin и PostgreSQL.

Найдя открытый порт, вредоносное ПО использует атаку имени пользователя и пароля, чтобы перевести ее в уязвимую службу, и один раз, удалив все базы данных, отобразит примечание о выкупе.

Вызывает беспокойство то, что сама вредоносная программа не содержит каких-либо функциональных возможностей, которые позволили бы восстановить удаленные базы данных после оплаты жертвами.

На сегодняшний день XBash заразил по меньшей мере 48 жертв, которые уже заплатили выкуп, что составляет около 6 000 долларов на сегодняшний день. Однако исследователи не видят никаких доказательств того, что платежи привели к восстановлению данных для жертв.

У вредоносного ПО также есть возможности для добавления целевых систем на базе Linux в бот-сети.

XBash Malware использует ошибки в Hadoop, Redis и ActiveMQ

С другой стороны, XBash нацелен на машины Microsoft Windows только для разработки криптовалют и самораспространения. Для самораспространения он использует три известные уязвимости в Hadoop, Redis и ActiveMQ:

Если точкой входа является уязвимая служба Redis, Xbash отправит вредоносную нагрузку JavaScript или VBScript для загрузки и выполнения coinminer для Windows вместо своего модуля ботнета и ransomware.

Как уже упоминалось выше, Xbash разработан на Python, а затем был преобразован в Portable Executable (PE) с помощью PyInstaller, который может создавать двоичные файлы для нескольких платформ, включая Windows, Apple MacOS и Linux, а также обеспечивает защиту от обнаружения.

Это, в свою очередь, позволяет XBash быть действительно  межплатформенным вредоносным ПО  , хотя на момент написания статьи исследователи обнаружили образцы только для Linux и не видели каких-либо версий Xbash для Windows или MacOS.

Пользователи могут защитить себя от XBash, следуя основным практикам кибербезопасности, в том числе:

  • изменить учетные данные для входа в систему по умолчанию,
  • использовать сильные и уникальные пароли,
  • постоянно обновляйте свою операционную систему и программное обеспечение,
  • избегать загрузки и запуска ненадежных файлов или щелчка по ссылкам,
  • регулярно делать резервные копии своих данных и
  • предотвратите несанкционированное соединение с помощью брандмауэра.

 

Alt text

Владимир Безмалый

О безопасности и не только