Novo malware, Xbash mira Linux e Windows. Saiba como se proteger
Pesquisadores da Unidade 42 , da Palo Alto Networks, descobriram uma nova família de malware que tem como alvo os servidores Linux e Microsoft Windows. O Xbash, afirmou a empresa de segurança, está associado ao Iron Group, grupo de ameaças anteriormente conhecidos por ataques de ransomware.
O Xbash possui recursos de ransomware e mineração de moedas. Ele também possui recursos de autopropagação (o que significa que possui características parecidas com worm semelhantes a WannaCry ou Petya / NotPetya). Ele também tem recursos não implementados atualmente que, quando implementados, podem permitir que ele se espalhe rapidamente dentro da rede de uma organização (novamente, muito parecido com WannaCry ou Petya / NotPetya).
O Xbash se espalha atacando senhas fracas e vulnerabilidades não corrigidas. O Xbash destrói dados, inclusive bancos de dados baseados em Linux como parte de seus recursos de ransomware. Também não foi encontrada nenhuma funcionalidade no Xbash que permita a restauração após o pagamento do resgate. Isso significa que, semelhante ao NotPetya, o Xbash é um malware destrutivo de dados que se apresenta como um ransomware.
Até o momento, a empresa observou 48 transações de entrada para essas carteiras com receita total de cerca de 0,964 bitcoins, significando que 48 vítimas pagaram cerca de US$ 6 mil no total até o momento. No entanto, não vimos nenhuma evidência de que os resgates pagos resultaram em recuperação para as vítimas.
A companhia de segurança localizou quatro versões diferentes do Xbash até agora. As diferenças de código e data e hora entre essas versões mostram que ainda está em desenvolvimento ativo. A botnet começou a funcionar já em maio de 2018.
De fato, a empresa não conseguiu encontrar evidências de qualquer funcionalidade que possibilite a recuperação por meio do pagamento de resgates. Nossa análise mostra que esse é, provavelmente, um trabalho do Iron Group, um grupo publicamente vinculado a outras campanhas de ransomware, incluindo aquelas que usam Sistema de Controle Remoto, cujo código fonte foi roubado do HackingTeam em 2015.
Desenvolvido em Python: O Xbash foi desenvolvido usando Python e depois convertido em executáveis Linux ELF independentes, abusando da ferramenta legítima PyInstaller para distribuição.
Alvos: endereços IP e nomes de domínio: Malwares modernos do Linux, como o Mirai ou o Gafgyt, geralmente geram endereços IP aleatórios como destinos de varredura. Por outro lado, o Xbash busca, de seus servidores C2, endereços IP e nomes de domínio para análise e exploração de serviços.
Windows e Linux: ao explorar serviços vulneráveis do Redis, o Xbash também descobrirá se o serviço está sendo executado no Windows ou não. Em caso afirmativo, ele enviará uma carga maliciosa de JavaScript ou VBScript para baixar e executar um coinminer para o Windows.
Funcionalidade de Varredura da Intranet: os autores do Xbash desenvolveram a nova capacidade de varredura de servidores vulneráveis dentro da intranet corporativa. Nós vemos essa funcionalidade nas amostras, mas, curiosamente, ela ainda não foi ativada.
A pressão por controle de custos vem alterando a dinâmica das áreas de tecnologia nas…
O mercado brasileiro de fintechs passou por uma transformação no perfil dos investimentos em 2025.…
O avanço da inteligência artificial e o uso estratégico de dados vêm transformando a forma…
Por Ramon Ribeiro Quase metade do código produzido por assistentes de inteligência artificial contém vulnerabilidades…
Peça a um modelo de inteligência artificial que gere a imagem de uma cidade, sem…
O IT Forum apresenta, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e mudanças…