Membros da Unit 42, equipe de pesquisa da Palo Alto Networks, descobriram uma nova família de malware que tem como alvo os servidores Linux e Microsoft Windows. A ameaça chamada XBash é vinculada ao grupo ao Iron Group, conhecido anteriormente por desenvolver e disseminar minas de criptomoedas ou trojans de sequestro de transações de criptomoedas destinados principalmente ao Microsoft Windows, com apenas alguns para o Linux.
O XBash possui recursos de ransomware e mineração de moedas. Ele também possui recursos de autopropagação (o que significa que possui características parecidas com worm semelhantes a WannaCry ou Petya / NotPetya). Ele também tem recursos não implementados atualmente que, quando implementados, podem permitir que ele se espalhe rapidamente dentro da rede de uma organização. Novamente, muito parecido com WannaCry ou Petya / NotPetya, os principais ransomware de escala global já reportados.
Essa ameaça se espalha atacando senhas fracas e vulnerabilidades não corrigidas. O XBash destrói dados, inclusive bancos de dados baseados em Linux como parte de seus recursos de ransomware. Também não foi encontrada nenhuma funcionalidade no XBash que permita a restauração após o pagamento do resgate. Isso significa que, semelhante ao NotPetya, o Xbash é um malware destrutivo de dados que se apresenta como um ransomware. Uma das principais recomendações no mundo da cibersegurança é o não pagamento de resgates para essas ameças que encriptam dados, já que não há nenhuma garantia que o criminoso digital irá cumprir sua parte do acordo.
Principais características do XBash
Com base em pesquisas internas a Unit 42 chegou as seguintes conclusões sobre as principais características sobre essa ameaça:
- Desenvolvido em Python: o XBash foi desenvolvido usando Python e depois convertido em executáveis Linux ELF independentes, abusando da ferramenta legítima PyInstaller para distribuição.
- Alvos – endereços IP e nomes de domínio: Malwares modernos do Linux, como o Mirai ou o Gafgyt, geralmente geram endereços IP aleatórios como destinos de varredura. Por outro lado, o Xbash busca, de seus servidores C2, endereços IP e nomes de domínio para análise e exploração de serviços
- Windows e Linux: ao explorar serviços vulneráveis do Redis, o Xbash também descobrirá se o serviço está sendo executado no Windows ou não. Em caso afirmativo, ele enviará uma carga maliciosa de JavaScript ou VBScript para baixar e executar um coinminer para o Windows.
- Funcionalidade de Varredura da Intranet: os autores do XBash desenvolveram a nova capacidade de varredura de servidores vulneráveis dentro da intranet corporativa. “Nós vemos essa funcionalidade nas amostras, mas, curiosamente, ela ainda não foi ativada”, diz a Unit 42.
- Há quatro versões diferentes do Xbash até agora. As diferenças de código e data e hora entre essas versões mostram que ainda está em desenvolvimento ativo. A botnet começou a funcionar já em maio de 2018. “Até agora, observamos 48 transações recebidas nos endereços de carteira de Bitcoin usados pelo malware, o que pode indicar 48 vítimas de seu comportamento de resgate.”
Recomendações de proteção contra o XBash
- Use senhas fortes e não padrão
- Mantendo-se informado sobre atualizações de segurança
- Implementando a segurança do terminal nos sistemas Microsoft Windows e Linu
- Impedindo o acesso a hosts desconhecidos na Internet (para impedir o acesso a servidores de comando e controle)
- Implementar e manter processos e procedimentos de backup e restauração rigorosos e eficazes.