יחידה 42 חוקרים מגלים את Xbash - תוכנות זדוניות ההורסות מאגרי מידע מבוססי לינוקס ו- Windows

חֲדָשׁוֹת
בִּטָחוֹן / יחידה 42 חוקרים מגלים את Xbash - תוכנות זדוניות ההורסות מאגרי מידע מבוססי לינוקס ו- Windows קריאה של 2 דקות

הודעת כופר נוצרה על ידי Xbash במאגר MySQL



תוכנה זדונית חדשה המכונה ' Xbash התגלה על ידי חוקרים מיחידה 42, פורסם בבלוג ב- Palo Alto Networks דיווח . תוכנה זדונית זו ייחודית בכוח המיקוד שלה ומשפיעה על שרתי Microsoft Windows ו- Linux בו זמנית. חוקרים ביחידה 42 קשרו את התוכנה הזדונית לקבוצת איירון שהיא קבוצת שחקני איומים שהייתה ידועה בעבר בהתקפות כופר.

על פי הפוסט בבלוג, ל- Xbash יכולות מטבע, הפצה עצמית וכופר. יש לו גם יכולות שכאשר מיושמות, יכולות לאפשר לתוכנות זדוניות להתפשט די מהר ברשת של ארגון, בדרכים דומות כמו WannaCry או Petya / NotPetya.



שרת החמאצ'י הופסק

מאפייני Xbash

בהתייחסו למאפיינים של תוכנה זדונית חדשה זו, כתבו חוקרי יחידה 42, 'לאחרונה ביחידה 42 השתמשו בפאלו אלטו נטוורקס WildFire כדי לזהות משפחת תוכנות זדוניות חדשות המכוונות לשרתי לינוקס. לאחר חקירה נוספת הבנו שמדובר בשילוב של botnet ותוכנות כופר אשר פותחו על ידי קבוצת פשע סייבר פעילה איירון (aka Rocke) השנה. קראנו לתוכנה זדונית חדשה זו 'Xbash', בהתבסס על שם המודול הראשי המקורי של הקוד הזדוני. '



קבוצת איירון שכוונה בעבר לפתח ולהפיץ חטיפת עסקאות מטבעות חליפין או כורים טרויאנים אשר נועדו בעיקר למיקוד למיקרוסופט Windows. עם זאת, Xbash מכוון לגלות את כל השירותים הלא מוגנים, למחוק את מאגרי המידע MySQL, PostgreSQL ו- MongoDB של המשתמשים, וכופר עבור ביטקוין. שלוש נקודות תורפה ידועות המשמשות את Xbash להדבקת מערכות Windows הן Hadoop, Redis ו- ActiveMQ.



Xbash מתפשט בעיקר על ידי מיקוד לכל פגיעות ולא סיסמאות חלשות. זה נתונים הרסניים , רומז כי הוא משמיד מאגרי מידע מבוססי לינוקס כיכולותיו כופר. לא קיימות גם פונקציות ב- Xbash שיחזירו את הנתונים שנהרסו לאחר תשלום הכופר.

בניגוד לבוטני רשת לינוקס מפורסמים קודמים כמו Gafgyt ו- Mirai, Xbash הוא רשת לינוקס בוטנט ברמה הבאה שמרחיבה את מטרתה לאתרים ציבוריים כאשר היא מכוונת לתחומים וכתובות IP.

Xbash מייצר רשימת כתובות IP ברשת המשנה של הקורבן ומבצע סריקת יציאות (Palo Alto Networks)



יש כמה פרטים נוספים על היכולות של תוכנות זדוניות:

  • יש לו יכולות של botnet, מטבעות, כופר והפצה עצמית.
  • היא מכוונת למערכות מבוססות לינוקס עבור יכולות הכופר וה- botnet שלה.
  • היא מכוונת למערכות מבוססות חלונות של מיקרוסופט על יכולות הכרייה וההפצה העצמית שלה.
  • רכיב הכופר ממקד ומוחק מסדי נתונים מבוססי לינוקס.
  • עד היום ראינו 48 עסקאות נכנסות לארנקים אלה עם הכנסה כוללת של כ 0.964 ביטקוין כלומר 48 קורבנות שילמו כ 6,000 דולר בסך הכל (בזמן כתיבת שורות אלה).
  • עם זאת, אין שום הוכחה לכך שכופר הכספי בתשלום הביא להחלמה עבור הקורבנות.
  • למעשה, אנו לא יכולים למצוא שום הוכחה לפונקציונליות כלשהי המאפשרת התאוששות באמצעות תשלום כופר.
  • הניתוח שלנו מראה כי ככל הנראה עבודתה של קבוצת איירון, קבוצה המקושרת באופן ציבורי לקמפיינים אחרים של תוכנות כופר, כולל אלה המשתמשות במערכת השלט-רחוק (RCS), שקוד המקור שלה האמין נגנב מה- ' HackingTeam ”בשנת 2015.

הגנה מפני Xbash

ארגונים יכולים להשתמש בכמה טכניקות וטיפים שניתנו על ידי חוקרי יחידה 42 על מנת להגן על עצמם מפני התקפות אפשריות על ידי Xbash:

  1. שימוש בסיסמאות חזקות ולא ברירת מחדל
  2. שמירה על עדכוני אבטחה
  3. יישום אבטחת נקודות קצה במערכות Microsoft Windows ו- Linux
  4. מניעת גישה למארחים לא ידועים באינטרנט (למניעת גישה לשרתי פיקוד ובקרה)
  5. יישום ושמירה על תהליכי ונהלי גיבוי ושחזור קפדניים ויעילים.
תגים לינוקס חלונות