XBash: una amenaza que doblega a Linux y Windows

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Los usuarios de Windows y Linux deben tener cuidado con XBash, ya que se ha descubierto esta cepa destructiva de malware “todo en uno” que presenta múltiples capacidades de malware que incluyen ransomware, minado de criptomonedas, botnet y gusanos de autopropagación dirigidos a dichos sistemas operativos.

Apodado XBash, el nuevo malware, que se cree está vinculado al Iron Group, alias Rocke, el grupo de actores de amenazas con APT de habla china conocido por los ciberataques previos que involucraron a mineros de ransomware y criptomonedas.

Según los investigadores que descubrieron el malware, XBash es un malware “todo en uno” que presenta capacidades de minería de ransomware y criptomoneda, así como también una capacidad tipo gusano similar a WannaCry o Petya / NotPetya.

Además de las capacidades de autopropagación, XBash también contiene una funcionalidad, que aún no está implementada, que podría permitir que el malware se propague rápidamente dentro de la red de una organización.

Desarrollado en Python, XBash busca servicios web vulnerables o desprotegidos y elimina bases de datos como MySQL, PostgreSQL y MongoDB que se ejecutan en servidores Linux, como parte de sus capacidades de ransomware.

Un virus que le garantiza que, si paga, nada va a cambiar su estado desesperado.

Xbash ha sido diseñado para buscar servicios en una IP objetivo, tanto en puertos TCP como UDP, tales como HTTP, VNC, MySQL / MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle Database, CouchDB, Rlogin y PostgreSQL.

Una vez que encuentra un puerto abierto, el malware utiliza un ataque de diccionario de usuario y contraseña débil para forzarlo en el servicio vulnerable, y una vez dentro, elimina todas las bases de datos y luego muestra la nota de rescate.

Lo que es preocupante es que el malware en sí mismo no contiene ninguna funcionalidad que permita la recuperación de las bases de datos eliminadas una vez que las víctimas hayan pagado el monto del rescate.

Hasta la fecha, XBash ha infectado al menos a 48 víctimas, que ya han pagado el rescate, ganando alrededor de u$s 6,000 hasta la fecha por los ciberdelincuentes que están detrás de la amenaza.

Sin embargo, los investigadores no ven evidencia de que los pagos pagados hayan resultado en la recuperación de datos para las víctimas.

El malware también tiene capacidades para agregar sistemas específicos basados ​​en Linux en una botnet.

XBash Malware explota fallas en Hadoop, Redis y ActiveMQ

Por otro lado, XBash se dirige a máquinas con Microsoft Windows solo para minado y autopropagación. Para la autopropagación, explota tres vulnerabilidades conocidas en Hadoop, Redis y ActiveMQ.

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris