+22 голоса |
Активная в последние пару лет группа разработчиков вредоносного ПО, известная под псевдонимами Iron и Rocke, разродилась многофункциональным вирусом, угрожающим безопасности серверов Linux и Windows.
Программа, получившая название XBash, объединяет в себе функциональность червя, ransomware, криптомайнера и ботнета.
Iron, которая, по мнению экспертов Cisco Talos базируется в Китае, в 2017 г. и начале 2018 г. распространяла вымогательское ПО, а затем перешла к массовым операциям по внедрению криптомайнеров.
Теперь же, как указали исследователи из Palo Alto Networks, хакеры объединили всё свои предыдущие тактические приёмы, развернув структуру ботнета с возможностями ransomware и майнера криптовалют. Этот «коктейль» Iron дополнила ещё и червём, способным самостоятельно распространяться внутри изолированных корпоративных сетей.
Анализ XBash показал, что указанные компоненты программа активирует селективно: ботнет и ransomware задействуется только при атаках на Linux-серверы, а криптомайнер работает только в среде Windows. Опция червя, по данным исследователей, использовалась на этапе разработки XBash и в настоящее время законсервирована.
Модуль ботнет, обеспечивающий плацдарм для развёртывания вредоносной деятельности XBash, содержит сканер, который ищет в Сети веб-приложения, не имеющие установленных защитных патчей или использующие настройки пароля по умолчанию.
Используя эксплойты, XBash проникает в серверы Hadoop, Redis или ActiveMQ, где оставляет копию своего ботнета и ransomware (если это Linux-серверы). Далее, он сканирует и удаляет работающие локально службы баз данных и оставляет сообщение с требованием выкупа в размере 0,02 Bitcoin ($125) за восстановление баз данных (которые к тому времени уже безвозвратно потеряны).
Инфицирование Windows происходит только если точкой входа является сервер Redis. В этом случае применяется особая процедура установки майнера виртуальных денег.
В состав ботнета XBash входит и ещё одни сканер, который ищет в Интернете и пытается взломать методом грубой силы веб-серверы (HTTP), VNC, MariaDB, MySQL, PostgreSQL, Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP, UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh и Rsync. Это позволяет ботнету разрастаться более быстрыми темпами и увеличивает поверхность атаки.
На основании адресов Bitcoin, найденных в некоторых требованиях выкупа, эксперты сделали вывод, что хакеры уже смогли выманить 0,964 Bitcoin (порядка 6 тыс. долл.) за базы данных, которые они не могли и не собирались возвратить.
Активация «спящей» кросс-платформенной функциональности в следующих версиях XBash позволит мошенникам увеличить прибыль, получаемую от обманутых жертв.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+22 голоса |