¿De qué manera un malware auto-difusión con capacidades cryptomining y ransomware suena a usted? enteramente hipotética? De ningún modo. existe esta nueva cepa de malware y es una amenaza real no sólo a los servidores de Windows, sino también para Linux. Se denominó Xbash.
Más específicamente, la nueva cepa de malware combina características de cuatro categorías de malware - ransomware, botnet, gusano, y los mineros cripto. De acuerdo con investigadores de la Unidad de Palo Alto Networks 42, ransomware capacidades y redes de bots de Xbash están dirigidos a sistemas Linux donde el nuevo malware monstruosa es instruido para eliminar las bases de datos. Como para Windows, Xbash se utiliza para fines cryptomining y auto-propagación, el aprovechamiento de vulnerabilidades de seguridad conocidas en Hadoop, Redis, y servicios ActiveMQ.
¿Quién está detrás del nuevo malware Xbash?
Al parecer,, este último ejemplar de malware es redactado por un colectivo conocido delincuente conocido como Hierro y Rocke. El grupo ha sido muy activa durante el último par de años.
Estos delincuentes se han conocido para llevar a cabo ransomware masiva y campañas cryptomining. Cisco investigadores Talos incluso nombraron la piratería colectiva “el campeón de los mineros Monero". Hay indicios que sugieren que el grupo se basa en China, pero esto no ha sido confirmado. Se detectó el grupo de la entrega de ransomware en 2017 y 2018, y más tarde - mineros criptomoneda.
Ahora, el grupo hierro tiene un nuevo ejemplar de malware en sus manos, que combina todos los escenarios maliciosos previamente desplegados. El resultado es una pieza de malware monstruosa con una estructura similar a botnet y capacidades ransomware y cryptomining. Además de eso, el grupo está trabajando actualmente en una característica similar a un gusano para la auto-propagación, los investigadores dicen.
Descripción técnica general de XBash malware
De acuerdo con el análisis técnico de Palo Alto, el malware se desarrolla en Python y más tarde se convirtió en ejecutables Linux ELF autónomos mediante el aprovechamiento de la herramienta legítima llamado PyInstaller para los propósitos de entrega.
XBash también está apuntando las direcciones IP y nombres de dominio. "Linux software malicioso moderno como Mirai o Gafgyt por lo general generan direcciones IP aleatorias como destinos de escaneado. por el contrario, Xbash obtiene de sus servidores C2 ambas direcciones IP y nombres de dominio para el servicio de sondeo y explotar," los investigadores célebre.
Como ya se ha mencionado, la nueva cepa de malware se dirige tanto para Windows y Linux. Cuando el objetivo Redis, Xbash primero confirmar si el servicio se está ejecutando en Windows. Si esto se confirma, A continuación, enviará malicioso JavaScript o VBScript de carga útil con el fin de descargar y ejecutar un cryptominer para Windows.
Otra característica a destacar es técnico capacidad de escaneo de la intranet de Xbash donde se dirigen los servidores vulnerables con la intranet de la empresa. Debe tenerse en cuenta que esta característica no se ha activado todavía y sólo se ve en las muestras.
Palo Alto investigadores han descubierto cuatro versiones diferentes del software malicioso Xbash hasta el momento.
Código de fecha y hora y diferencias entre estas versiones insinúan que el malware monstruosa aún está en desarrollo activo. Las operaciones de botnets comenzado en torno a mayo de este año. Los investigadores han monitoreado 48 las transacciones de entrada a las direcciones billetera Bitcoin utilizados por los autores Xbash. Esto puede significar que hay 48 víctimas de la conducta particular ransomware.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: