Пользователям Windows и Linux нужно быть осторожными, так как обнаружено разрушительное вредоносное ПО, которое включает в себя множество вредоносных программ, включая ransomware, криптовалютный майнер, бот-сеть и самораспространяющийся червь, предназначенный для Linux и Windows.
Новая вредоносная программа получила название XBash. Как полагают ее авторы Iron Group, известная как группа Rocke — группа известная из-за предыдущих кибератак, в которой участвуют вымогатели и криптовалютные майнеры .
По словам исследователей из Palo Alto Networks, которые обнаружил и вредоносное ПО, XBash — это вредоносное ПО класса all-in-one, в котором реализованы возможности интеллектуального анализа данных и криптовалюта, а также червь, подобный WannaCry или Petya / NotPetya .
Помимо возможностей самораспространения, XBash также содержит еще не реализованные функциональные возможности, что позволяет быстро распространять вредоносное ПО в сети организации. Разработанная на Python, XBash охотится за уязвимыми или незащищенными веб-службами и удаляет базы данных, такие как MySQL, PostgreSQL и MongoDB, работающие на серверах Linux, в рамках своих возможностей для получения вымогательства.
Важно: оплата выкупа не принесет вам ничего!
Xbash был разработан для сканирования сервисов на целевом IP-адресе как на TCP, так и на UDP-портах, таких как HTTP, VNC, MySQL / MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle Database, CouchDB, Rlogin и PostgreSQL.
Найдя открытый порт, вредоносное ПО использует атаку имени пользователя и пароля, чтобы перевести ее в уязвимую службу, и один раз, удалив все базы данных, отобразит примечание о выкупе.
Вызывает беспокойство то, что сама вредоносная программа не содержит каких-либо функциональных возможностей, которые позволили бы восстановить удаленные базы данных после оплаты жертвами.
На сегодняшний день XBash заразил по меньшей мере 48 жертв, которые уже заплатили выкуп, что составляет около 6 000 долларов на сегодняшний день. Однако исследователи не видят никаких доказательств того, что платежи привели к восстановлению данных для жертв.
У вредоносного ПО также есть возможности для добавления целевых систем на базе Linux в бот-сети.
XBash Malware использует ошибки в Hadoop, Redis и ActiveMQ
С другой стороны, XBash нацелен на машины Microsoft Windows только для разработки криптовалют и самораспространения. Для самораспространения он использует три известные уязвимости в Hadoop, Redis и ActiveMQ:
Если точкой входа является уязвимая служба Redis, Xbash отправит вредоносную нагрузку JavaScript или VBScript для загрузки и выполнения coinminer для Windows вместо своего модуля ботнета и ransomware.
Как уже упоминалось выше, Xbash разработан на Python, а затем был преобразован в Portable Executable (PE) с помощью PyInstaller, который может создавать двоичные файлы для нескольких платформ, включая Windows, Apple MacOS и Linux, а также обеспечивает защиту от обнаружения.
Это, в свою очередь, позволяет XBash быть действительно межплатформенным вредоносным ПО , хотя на момент написания статьи исследователи обнаружили образцы только для Linux и не видели каких-либо версий Xbash для Windows или MacOS.
Пользователи могут защитить себя от XBash, следуя основным практикам кибербезопасности, в том числе:
- изменить учетные данные для входа в систему по умолчанию,
- использовать сильные и уникальные пароли,
- постоянно обновляйте свою операционную систему и программное обеспечение,
- избегать загрузки и запуска ненадежных файлов или щелчка по ссылкам,
- регулярно делать резервные копии своих данных и
- предотвратите несанкционированное соединение с помощью брандмауэра.