Usuários de Windows e Linux precisam tomar cuidado, já que uma variedade de malware destrutiva e multifuncional foi descoberta na natureza que possui vários recursos de malware, incluindo ransomware, minerador de criptomoeda, botnet e worm autopropagável para sistemas Linux e Windows.
Apelidado de XBash, o novo malware, que se acredita estar ligado ao Iron Group, também conhecido como Rocke - o grupo de atores de ameaças APT de fala chinesa conhecido por ataques cibernéticos anteriores envolvendo mineiros de ransomware e criptomoeda .
De acordo com os pesquisadores da empresa de segurança Palo Alto Networks, que descobriu o malware, o XBash é um malware completo que apresenta recursos de mineração de ransomware e cryptocurrency, além de uma capacidade parecida com um worm semelhante a WannaCry.ou Petya / NotPetya .
Além dos recursos de autopropagação, o XBash também contém uma funcionalidade, que ainda não está implementada, que poderia permitir que o malware se espalhasse rapidamente dentro da rede de uma organização. Desenvolvido em Python, o XBash procura serviços da Web vulneráveis ou desprotegidos e exclui bancos de dados como MySQL, PostgreSQL e MongoDB em execução em servidores Linux, como parte de seus recursos de ransomware.
Importante: Pagar o resgate não vai te dar nada!
O Xbash foi projetado para procurar serviços em um IP de destino, em portas TCP e UDP, como HTTP, VNC, MySQL / MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, banco de dados Oracle, CouchDB, Rlogin e PostgreSQL.
Depois de encontrar uma porta aberta, o malware usa um ataque de dicionário de nome de usuário e senha fraco para forçar a própria força bruta no serviço vulnerável e, uma vez, exclui todos os bancos de dados e exibe a nota de resgate.
O que é preocupante é que o malware em si não contém nenhuma funcionalidade que permita a recuperação dos bancos de dados excluídos, uma vez que o valor do resgate tenha sido pago pelas vítimas.
Até o momento, o XBash já infectou pelo menos 48 vítimas, que já pagaram o resgate, ganhando cerca de US $ 6.000 até o momento por criminosos cibernéticos por trás da ameaça. No entanto, os pesquisadores não vêem evidências de que os pagamentos pagos tenham resultado na recuperação de dados para as vítimas.
O malware também tem recursos para adicionar sistemas baseados em Linux em um botnet.
XBash Malware explora falhas no Hadoop, Redis e ActiveMQ
Por outro lado, o XBash é direcionado a máquinas Microsoft Windows somente para mineração criptografada e autopropagação. Para autopropagação, ele explora três vulnerabilidades conhecidas no Hadoop, Redis e ActiveMQ:
- Erro de execução de comando não autenticado do ResourceManager do Hadoop YARN divulgado em outubro de 2016 e não possui nenhum número de CVE atribuído.
- Gravações arbitrárias de arquivos Redis e vulnerabilidade de execução de comandos remotos divulgada em outubro de 2015 sem número CVE atribuído.
- Vulnerabilidade arbitrária de gravação de arquivos do ActiveMQ (CVE-2016-3088), divulgada no início de 2016.
Se o ponto de entrada for um serviço Redis vulnerável, o Xbash enviará uma carga maliciosa de JavaScript ou VBScript para baixar e executar um coinminer para o Windows, em vez de seu módulo de botnet e ransomware.
Como mencionado acima, o Xbash é desenvolvido em Python e depois convertido em Portable Executable (PE) usando o PyInstaller, que pode criar binários para múltiplas plataformas, incluindo Windows, Apple macOS e Linux, e também fornece anti-detecção.
Isso, por sua vez, permite que o XBash seja um malware verdadeiramente multiplataforma , embora, no momento em que este artigo foi escrito, os pesquisadores encontrassem amostras apenas para o Linux e não vissem nenhuma versão do Xbash para Windows ou MacOS.
Os usuários podem se proteger contra o XBash seguindo as práticas básicas de segurança cibernética, incluindo:
- alterar as credenciais de login padrão em seus sistemas,
- use senhas fortes e únicas,
- mantenha seu sistema operacional e software atualizados,
- evite baixar e executar arquivos não confiáveis ou clicar em links,
- fazer backup de seus dados regularmente, e
- impedir a conexão não autorizada usando um firewall.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário