El equipo de investigación de Unidad 42 de Palo Alto Networks descubrió una nueva clase de malware capaz de apuntar a los servidores Linux y Windows combinando las funciones de extracción de monedas botnet y ransomware en un paquete de gusanos autoexpansible.
Como se detalla en la Unidad 42, la nueva familia de malware denominada Xbash está vinculada al Iron Group, un actor de amenazas conocido anteriormente por realizar ataques de ransomware, que aparentemente se ha trasladado a vectores de ataque más complejos.
Se ha observado que Xbash se propaga entre servidores usando una combinación de vulnerabilidades explotables y contraseñas débiles y, a diferencia de otros ransomware, viene con características de destrucción de datos habilitadas por defecto sin funcionalidad de restauración que hace que la recuperación de archivos sea virtualmente imposible.
Además, los componentes de botnet y ransomware de Xbash se dirigen a servidores Linux explotando servicios desprotegidos y vulnerables sin parchear, borrando inmediatamente las bases de datos MySQL, PostgreSQL y MongoDB y solicitando rescates de Bitcoin para restaurar (hipotéticamente) los datos.
Por otro lado, los módulos de extracción de monedas y autopropagación de Xbash tienen como objetivo la violación de los sistemas de Windows que utilizan vulnerabilidades conocidas en las bases de datos sin parchar de Hadoop, Redis y ActiveMQ.
Xbash utiliza un método ingenioso para empaquetar múltiples clases de amenazas dentro de un gusano que se propaga a sí mismo
Además, Xbash tiene aptitudes autoexpansibles que se asemejan a las de Petya / NoPetya y WannaCry y una colección de capacidades de propagación aún no habilitadas, pero que podrían permitir que se propague rápidamente dentro de una empresa o una red doméstica.
Xbash también viene con capacidades de anti detección basadas en compilación de código, compresión de código y conversión, así como cifrado de código, todo para ocultar su comportamiento malicioso y evitar que las herramientas antimalware lo detecten.
La Unidad 42 ya encontró 48 transacciones entrantes a las carteras rígidas dentro del componente ransomware de Xbash por un total de $ 6000, lo que significa que la nueva familia de malware ya está activa y está cobrando rescates de las víctimas.
Según informó el equipo de investigación de Palo Alto Networks, existen varias medidas de mitigación que las empresas y las personas pueden tomar para proteger sus sistemas contra Xbash.
Por lo tanto, deben usar contraseñas seguras, instalar siempre actualizaciones de seguridad para el sistema operativo y los programas, realizar copias de seguridad de los datos con la mayor frecuencia posible y restringir el acceso a servidores remotos desconocidos para bloquear el malware y contactarlo y controlar los servidores para obtener más instrucciones.
Fecha actualización el 2021-09-17. Fecha publicación el 2018-09-17. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: softpedia