XBash: novo malware tem como alvo servidores Linux e Windows

Membros da Unit 42, equipe de pesquisa da Palo Alto Networks, descobriram uma nova família de malware que tem como alvo os servidores Linux e Microsoft Windows. A ameaça chamada XBash é vinculada ao grupo ao Iron Group, conhecido anteriormente por desenvolver e disseminar minas de criptomoedas ou trojans de sequestro de transações de criptomoedas destinados principalmente ao Microsoft Windows, com apenas alguns para o Linux.

O XBash possui recursos de ransomware e mineração de moedas. Ele também possui recursos de autopropagação (o que significa que possui características parecidas com worm semelhantes a WannaCry ou Petya / NotPetya). Ele também tem recursos não implementados atualmente que, quando implementados, podem permitir que ele se espalhe rapidamente dentro da rede de uma organização. Novamente, muito parecido com WannaCry ou Petya / NotPetya, os principais ransomware de escala global já reportados.

Essa ameaça se espalha atacando senhas fracas e vulnerabilidades não corrigidas. O XBash destrói dados, inclusive bancos de dados baseados em Linux como parte de seus recursos de ransomware. Também não foi encontrada nenhuma funcionalidade no XBash que permita a restauração após o pagamento do resgate. Isso significa que, semelhante ao NotPetya, o Xbash é um malware destrutivo de dados que se apresenta como um ransomware. Uma das principais recomendações no mundo da cibersegurança é o não pagamento de resgates para essas ameças que encriptam dados, já que não há nenhuma garantia que o criminoso digital irá cumprir sua parte do acordo.

Principais características do XBash

Com base em pesquisas internas a Unit 42 chegou as seguintes conclusões sobre as principais características sobre essa ameaça:

• Desenvolvido em Python: o XBash foi desenvolvido usando Python e depois convertido em executáveis Linux ELF independentes, abusando da ferramenta legítima PyInstaller para distribuição.
• Alvos – endereços IP e nomes de domínio: Malwares modernos do Linux, como o Mirai ou o Gafgyt, geralmente geram endereços IP aleatórios como destinos de varredura. Por outro lado, o Xbash busca, de seus servidores C2, endereços IP e nomes de domínio para análise e exploração de serviços
• Windows e Linux: ao explorar serviços vulneráveis do Redis, o Xbash também descobrirá se o serviço está sendo executado no Windows ou não. Em caso afirmativo, ele enviará uma carga maliciosa de JavaScript ou VBScript para baixar e executar um coinminer para o Windows.
• Funcionalidade de Varredura da Intranet: os autores do XBash desenvolveram a nova capacidade de varredura de servidores vulneráveis dentro da intranet corporativa. “Nós vemos essa funcionalidade nas amostras, mas, curiosamente, ela ainda não foi ativada”, diz a Unit 42.
• Há quatro versões diferentes do Xbash até agora. As diferenças de código e data e hora entre essas versões mostram que ainda está em desenvolvimento ativo. A botnet começou a funcionar já em maio de 2018. “Até agora, observamos 48 transações recebidas nos endereços de carteira de Bitcoin usados pelo malware, o que pode indicar 48 vítimas de seu comportamento de resgate.”

Recomendações de proteção contra o XBash

• Use senhas fortes e não padrão
• Mantendo-se informado sobre atualizações de segurança
• Implementando a segurança do terminal nos sistemas Microsoft Windows e Linu
• Impedindo o acesso a hosts desconhecidos na Internet (para impedir o acesso a servidores de comando e controle)
• Implementar e manter processos e procedimentos de backup e restauração rigorosos e eficazes.