Nova família de malwares também possui recursos de autopropagação e recursos que, quando implementados, podem permitir que ele se espalhe rapidamente na rede de uma organização
Pesquisadores da Unidade 42 , da Palo Alto Networks, descobriram uma nova família de malware que tem como alvo os servidores Linux e Microsoft Windows. O Xbash, afirmou a empresa de segurança, está associado ao Iron Group, grupo de ameaças anteriormente conhecidos por ataques de ransomware.
O Xbash possui recursos de ransomware e mineração de moedas. Ele também possui recursos de autopropagação (o que significa que possui características parecidas com worm semelhantes a WannaCry ou Petya / NotPetya). Ele também tem recursos não implementados atualmente que, quando implementados, podem permitir que ele se espalhe rapidamente dentro da rede de uma organização (novamente, muito parecido com WannaCry ou Petya / NotPetya).
O Xbash se espalha atacando senhas fracas e vulnerabilidades não corrigidas. O Xbash destrói dados, inclusive bancos de dados baseados em Linux como parte de seus recursos de ransomware. Também não foi encontrada nenhuma funcionalidade no Xbash que permita a restauração após o pagamento do resgate. Isso significa que, semelhante ao NotPetya, o Xbash é um malware destrutivo de dados que se apresenta como um ransomware.
Até o momento, a empresa observou 48 transações de entrada para essas carteiras com receita total de cerca de 0,964 bitcoins, significando que 48 vítimas pagaram cerca de US$ 6 mil no total até o momento. No entanto, não vimos nenhuma evidência de que os resgates pagos resultaram em recuperação para as vítimas.
A companhia de segurança localizou quatro versões diferentes do Xbash até agora. As diferenças de código e data e hora entre essas versões mostram que ainda está em desenvolvimento ativo. A botnet começou a funcionar já em maio de 2018.
De fato, a empresa não conseguiu encontrar evidências de qualquer funcionalidade que possibilite a recuperação por meio do pagamento de resgates. Nossa análise mostra que esse é, provavelmente, um trabalho do Iron Group, um grupo publicamente vinculado a outras campanhas de ransomware, incluindo aquelas que usam Sistema de Controle Remoto, cujo código fonte foi roubado do HackingTeam em 2015.
Desenvolvido em Python: O Xbash foi desenvolvido usando Python e depois convertido em executáveis Linux ELF independentes, abusando da ferramenta legítima PyInstaller para distribuição.
Alvos: endereços IP e nomes de domínio: Malwares modernos do Linux, como o Mirai ou o Gafgyt, geralmente geram endereços IP aleatórios como destinos de varredura. Por outro lado, o Xbash busca, de seus servidores C2, endereços IP e nomes de domínio para análise e exploração de serviços.
Windows e Linux: ao explorar serviços vulneráveis do Redis, o Xbash também descobrirá se o serviço está sendo executado no Windows ou não. Em caso afirmativo, ele enviará uma carga maliciosa de JavaScript ou VBScript para baixar e executar um coinminer para o Windows.
Funcionalidade de Varredura da Intranet: os autores do Xbash desenvolveram a nova capacidade de varredura de servidores vulneráveis dentro da intranet corporativa. Nós vemos essa funcionalidade nas amostras, mas, curiosamente, ela ainda não foi ativada.
