Los usuarios de Windows y Linux deben tener cuidado, ya que se ha descubierto una cepa destructiva de malware todo en uno que presenta múltiples capacidades de malware que incluye ransomware, criptomoneda, botnet y gusanos de autopropagación dirigidos a los sistemas Linux y Windows.
Denominado XBash, el nuevo software malicioso, que se cree está vinculado al Iron Group, también conocido como Rocke, el grupo de actores de amenazas APT de habla china conocido por los ataques cibernéticos previos que involucraron a los maliciosos ransomware y criptomonedas.
Según los investigadores del proveedor de seguridad Palo Alto Networks, que descubrieron el malware, XBash es un malware «todo en uno» que presenta capacidades de explotación de ransomware y criptomonedas, así como una capacidad parecida a un gusano similar a WannaCry.o Petya/NotPetya .
Además de las capacidades de autopropagación, XBash también contiene una funcionalidad, que aún no está implementada, que podría permitir que el malware se propague rápidamente dentro de la red de una organización.
Desarrollado en Python, XBash busca servicios web vulnerables o desprotegidos y elimina bases de datos como MySQL, PostgreSQL y MongoDB que se ejecutan en servidores Linux, como parte de sus capacidades de ransomware.
Importante: ¡Pagar rescate no te dará nada!
Xbash ha sido diseñado para buscar servicios en una IP objetivo, tanto en puertos TCP como UDP, tales como HTTP, VNC, MySQL/MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle Database, CouchDB, Rlogin y PostgreSQL.
Una vez que encuentra un puerto abierto, el malware utiliza un ataque de diccionario de usuario y contraseña débil para forzarlo en el servicio vulnerable, y una vez dentro, elimina todas las bases de datos y luego muestra la nota de rescate.
Lo que es preocupante es que el malware en sí mismo no contiene ninguna funcionalidad que permita la recuperación de las bases de datos eliminadas una vez que las víctimas hayan pagado el monto del rescate.
Hasta la fecha, XBash ha infectado al menos a 48 víctimas, que ya han pagado el rescate, ganando alrededor de $ 6,000 hasta la fecha por los ciberdelincuentes que están detrás de la amenaza.
Sin embargo, los investigadores no ven evidencia de que los pagos pagados hayan resultado en la recuperación de datos para las víctimas.
El software malicioso también tiene capacidades para agregar sistemas específicos basados en Linux en una botnet.
XBash Malware explota fallas en Hadoop, Redis y ActiveMQ
Por otro lado, XBash se dirige a máquinas con Microsoft Windows solo para la criptomoneda y la autopropagación.
Para la autopropagación, explota tres vulnerabilidades conocidas en Hadoop, Redis y ActiveMQ:
- Error de ejecución del comando no autenticado Hadoop YARN ResourceManager divulgado en octubre de 2016 y no tiene asignado ningún número CVE.
- La escritura arbitraria de archivos de Redis y la vulnerabilidad de ejecución de comandos remotos se revelaron en octubre de 2015 sin un número CVE asignado.
- Vulnerabilidad de escritura de archivos arbitrarios de ActiveMQ (CVE-2016-3088), divulgada a principios de 2016.
Si el punto de entrada es un servicio Redis vulnerable, Xbash enviará JavaScript malicioso o la carga útil de VBScript para descargar y ejecutar un coinminer para Windows en lugar de su botnet y el módulo ransomware.
Xbash desarrollado en Python y luego se convirtió a Portable Executable (PE) usando PyInstaller, que puede crear binarios para múltiples plataformas, incluyendo Windows, Apple macOS y Linux, y también proporciona anti detección.
Esto, a su vez, permite a XBash ser un verdadero software malicioso multiplataforma, aunque los investigadores encontraron ejemplos solo para Linux y no vieron ninguna versión de Windows o macOS de Xbash.
Los usuarios pueden protegerse contra XBash siguiendo las prácticas básicas de ciberseguridad, que incluyen:
- Cambiar las credenciales de inicio de sesión predeterminadas en sus sistemas.
- Usar contraseñas fuertes y únicas.
- Mantener su sistema operativo y software actualizado.
- Evitar descargar y ejecutar archivos que no sean de confianza o hacer clic en enlaces.
- Hacer copias de seguridad de sus datos regularmente.
- Prevenir conexiones no autorizadas usando un firewall.