Откупна порука коју је креирао Ксбасх у МиСКЛ бази података
Нови малвер познат као „ Ксбасх ’Открили су истраживачи Јединице 42, објављено је на блогу у компанији Пало Алто Нетворкс . Овај малвер је јединствен по својој моћи циљања и истовремено утиче на Мицрософт Виндовс и Линук сервере. Истраживачи из Јединице 42 повезали су овај малвер са Ирон Гроуп која је група актера претњи раније позната по рансомваре нападима.
Према објави на блогу, Ксбасх има могућности сакупљања, само-ширења и рансонваре-а. Такође поседује неке могућности које када се примене могу да омогуће да се злонамерни софтвер прилично брзо шири унутар мреже организације, на сличне начине као што су ВаннаЦри или Петиа / НотПетиа.
Карактеристике Ксбасх-а
Коментаришући карактеристике овог новог малвера, истраживачи Јединице 42 написали су: „Недавно је Јединица 42 користила Пало Алто Нетворкс ВилдФире како би идентификовала нову породицу малвера која циља Линук сервере. Након даље истраге схватили смо да је то комбинација ботнета и рансомваре-а коју је ове године развила активна група за кибернетички криминал Ирон (звани Роцке). Назвали смо овај нови злонамерни софтвер „Ксбасх“, на основу имена оригиналног главног модула злонамерног кода. “
Ирон Гроуп је раније имао за циљ развој и ширење отмица криптовалута или рудара тројанских програма који су углавном били намењени циљању Мицрософт Виндовс-а. Међутим, Ксбасх је усмерен на откривање свих незаштићених услуга, брисање МиСКЛ, ПостгреСКЛ и МонгоДБ база података корисника и откуп за Битцоинс. Три познате рањивости које Ксбасх користи за заразу Виндовс система су Хадооп, Редис и АцтивеМК.
Ксбасх се углавном шири циљањем нераскрпаних рањивости и слабих лозинки. То је података деструктивно , што имплицира да уништава базе података засноване на Линуку као своје могућности рансомваре-а. Такође у Ксбасх-у нису присутне функције које би обновиле уништене податке након што се откупнина исплати.
Супротно претходним познатим Линук ботнет-има попут Гафгита и Мираи-а, Ксбасх је Линук-ов ботнет следећег нивоа који проширује свој циљ на јавне веб локације јер циља домене и ИП адресе.
Ксбасх генерише листу ИП адреса у подмрежи жртве и врши скенирање порта (Пало Алто Нетворкс)
Постоје још неке специфичности у могућностима малвера:
- Поседује ботнет, цоинмининг, рансомваре и могућности самопропагирања.
- Циља системе засноване на Линуку због својих могућности рансомвареа и ботнета.
- Циља на системе засноване на Мицрософт Виндовс-у због његових способности за самокопирање и ширење.
- Компонента рансомваре циља и брише базе података засноване на Линуку.
- До данас смо приметили 48 долазних трансакција са овим новчаницима са укупним приходом од око 0,964 биткоина, што значи да је 48 жртава укупно платило око 6.000 америчких долара (у време писања овог текста).
- Међутим, нема доказа да су плаћене откупнине резултирале опоравком жртава.
- У ствари, не можемо да нађемо доказе о било којој функционалности која омогућава опоравак путем откупнине.
- Наша анализа показује да је ово вероватно рад групе Ирон Гроуп, групе која је јавно повезана са другим рансомваре кампањама, укључујући оне које користе систем даљинског управљања (РЦС), за чији се изворни код верује да је украден од „ ХацкингТеам ”2015. године.
Заштита од Ксбасх-а
Организације могу да користе неке технике и савете истраживача Јединице 42 како би се заштитиле од могућих напада Ксбасх-а:
- Коришћење јаких лозинки које нису подразумеване
- Ажурирање сигурносних ажурирања
- Имплементација заштите крајње тачке на системима Мицрософт Виндовс и Линук
- Спречавање приступа непознатим хостовима на Интернету (како би се спречио приступ командним и контролним серверима)
- Имплементација и одржавање ригорозних и ефикасних процеса и поступака израде резервних копија и рестаурације.
