Buzz
Xbash có khả năng quét các hệ thống bảo mật với mật khẩu yếu và các thiết bị có chứa những lỗ hổng mà trước đây chưa từng được biết đến.
Phát hiện một loại malware có khả năng xóa cơ sở dữ liệu trên cả hệ điều hành Linux và Windows
Các chuyên gia bảo mật tại Unit 42, một phần của Palo Alto Networks, đã tiến hành phân tích đối với Xbash và phát hiện rằng ransomware và botnet này được thiết kế đặc biệt cho các hệ thống Linux, với hướng dẫn rõ ràng nhằm mục đích xóa các cơ sở dữ liệu. Trong khi đó, trên hệ điều hành Windows, loại malware này hoạt động nhằm hạn chế việc khai thác tiền ảo và tự lây nhiễm các quy trình kh exploit lỗ hổng bảo mật đã được biết đến trong các dịch vụ như Hadoop, Redis và ActiveMQ.
Có nét giống với ransomware NotPetya
Các chuyên gia nghiên cứu cho biết khả năng cao rằng ransomware Xbash chỉ là một chương trình, vì phần mềm độc hại này không thể khôi phục lại cơ sở dữ liệu sau khi nạn nhân thanh toán tiền chuộc.
Phần mềm độc hại phát hiện các dịch vụ không được bảo vệ và xóa cơ sở dữ liệu MySQL, PostgreSQL và MongoDB.
Một số nạn nhân đã bị lừa và thanh toán tiền chuộc. Số tiền chuộc trong ví liên kết với kẻ tấn công đã lên đến 0.964 BTC hiện tại, với 48 giao dịch đề xuất thanh toán từ nhiều nạn nhân.
Ngoài ra, phần độc hại còn có một số khả năng tương tự với ransomware NotPetya, bao gồm khả năng lây nhiễm nhanh chóng trong hệ thống mạng của các tổ chức đến các máy chủ dễ bị tấn công. Tuy nhiên, chức năng quét vẫn chưa được triển khai.
Sử dụng kỹ thuật tấn công Brute-force
Xbash được trang bị để quét nhiều dịch vụ trên một địa chỉ IP đích trên cả 2 cổng TCP và UDP. Các dịch vụ này bao gồm HTTP, VNC, MySQL, Memcached, FTP, Telnet, ElasticSearch, RDP, UPnP, NTP, DNS, SNMP, Rlogin, LDAP, CouchDB và cơ sở dữ liệu Oracle.
Khi phát hiện một cổng đang mở, phần mềm độc hại sẽ tiến hành tấn công Brute-force kết hợp với tên người dùng và mật khẩu yếu được tích hợp trong từ điển.
Sau khi đăng nhập thành công, phần mềm độc hại sẽ xóa cơ sở dữ liệu trên máy chủ không chứa thông tin đăng nhập của người dùng và tạo ra một cơ sở dữ liệu mới để lưu trữ thông báo về các khoản tiền chuộc.
Kẻ tấn công sử dụng Xbash sẽ yêu cầu các nạn nhân thanh toán 0.02BTC (tương đương 125 USD) gửi tới ví liên kết để khôi phục lại dữ liệu.
Xbash được phát triển trên nền Python, sau đó sử dụng PyInstaller để chuyển đổi sang định dạng Portable Executable (PE). Kỹ thuật này mang lại nhiều ưu điểm, giúp giảm khả năng phát hiện, đồng thời đảm bảo tính tương thích và thực thi trên nhiều phiên bản Linux khác nhau, cũng như khả năng tạo file nhị phân cho Windows, Linux và macOS.
Mặc dù các nhà nghiên cứu chỉ phát hiện các mẫu trên hệ điều hành Linux, song phần mềm độc hại cũng có khả năng xác định hệ điều hành nào đang chạy các dịch vụ dễ bị tổn thương và phân phối tải trọng một cách hiệu quả.
Trên Windows, Xbash sẽ tải xuống trình điều khiển JavaScript hoặc VBScript để tìm kiếm và thực thi chương trình coinminer. Trong khi đó, trên Linux, Xbash thường xuyên triển khai ransomware.
Xbash đại diện cho một dạng phần mềm độc hại mới, kết hợp nhiều hàm và kỹ thuật tấn công nhằm đảm bảo sự thành công của cuộc tấn công.
Xung quanh chúng ta ngày nay, có nhiều rủi ro đe dọa, vì vậy hãy cài đặt một phần mềm diệt virus hiệu quả để làm việc và học tập một cách an tâm. Có nhiều phần mềm diệt virus lựa chọn như Avast, Kis ...
Hệ điều hành Chrome OS đã được cải tiến với giao diện mới, hỗ trợ ứng dụng Linux và bổ sung một số tính năng hấp dẫn như Night Light, giúp người dùng sử dụng máy tính một cách thoải mái hơn, đặc biệt là vào ban đêm.
