A nova ferramenta de malware destinada aos sistemas Windows e Linux combina recursos de criptomínio, ransomware, botnet e autopropagação.

Somando-se à crescente lista de malwares multifuncionais, foi descoberta uma ferramenta de malware particularmente desagradável e destruidora de dados que combina capacidades de botnet, mineração de moeda, ransomware e autopropagação.

O malware, que os pesquisadores do grupo Unit 42 da Rede Palo Alto batizaram de Xbash, tem como alvo os servidores Linux e Windows e contém recursos que, quando totalmente implementados, podem ajudar a disseminá-lo rapidamente dentro da rede de uma organização.

Pesquisadores da Palo Alto Network dizem que sua análise mostra que o malware está sendo usado para direcionar servidores Linux para seus recursos de ransomware e botnet, e servidores Windows para mineração de moeda e propósitos de autopropagação.

Os recursos de ransomware do Xbash são projetados para direcionar e excluir bancos de dados baseados em Linux. Pior, o malware parece não ter nenhuma funcionalidade para ajudar as vítimas a recuperar dados perdidos caso acabem pagando o resgate exigido.

Até agora, pelo menos 48 vítimas pagaram um total de US $ 6.000 aos atacantes, mas não há evidências de que algum deles conseguiu recuperar dados que o Xbash possa ter excluído, disse a Palo Alto Networks em um comunicado na segunda-feira.

“Como um todo, não vimos [antes] essa combinação de ransomware, mineração de minas, recursos de worms e segmentação de sistemas Linux e Windows”, diz Ryan Olson, vice-presidente de inteligência de ameaças da Unidade 42.

O malware parece ser o trabalho do Iron Group, um ator de ameaças associado a ataques de ransomware anteriores e para a disseminação de ferramentas de mineração de criptomoeda, principalmente em ambientes Windows. Com o Xbash, o grupo parece ter ampliado seus alvos para incluir também os sistemas Linux.

Ao contrário de outros malwares recentes do Linux, como o Gafgyt e o Mirai, que examinam dispositivos vulneráveis ​​usando endereços IP gerados aleatoriamente, o Xbash os examina também por nome de domínio. A capacidade torna mais difícil para os defensores identificar o Xbash usando honeypots, que são tipicamente implantados apenas com endereços IP.

“O Xbash usa uma lista de endereços IP e domínios fornecidos por seu C2 para verificar portas abertas específicas, credenciais fracas ou três vulnerabilidades conhecidas no Hadoop, Redis e ActiveMQ – que ele usa para autopropagação”, observa Olson.

Duas das três vulnerabilidades não possuem um número CVE formal atribuído a elas. Uma delas é uma falha de execução de comando não autenticada no  Hadoop YARN que foi divulgada pela primeira vez em outubro de 2016; a falha do Redis é de outubro de 2015 e dá aos atacantes uma maneira de executar remotamente os arquivos de sua escolha em uma máquina de destino. A terceira falha – n Active MQ – permite gravações de arquivos arbitrárias e possui um número CVE atribuído ( CVE-2016-3088 ).

Quando está explorando uma instância vulnerável do Redis, o Xbash é capaz de determinar se está sendo executado em um sistema Windows para que o malware possa baixar e executar um coinminer.

Se o destino que o Xbash está digitalizando for um endereço IP, ele tentará varrer várias portas UDP e TCP. Entre elas estão as portas usadas pelos serviços HTTP, VMC, MySQL, Telnet, FTP, NTP, DNS e LDAP. Se certas portas estiverem abertas – como aquelas usadas pelo VNC, MySQL e PostgreSQL – o malware usa um dicionário de senha e nome de usuário fraco – para forçar sua entrada no serviço.

 “O Xbash usa senhas fracas em seus ataques contra sistemas Windows e serviços Linux”, diz Olson. “Ele usa tanto um dicionário interno quanto atualizações do seu servidor C2 com um conjunto adicional de senhas fracas.”

Quando o Xbash entra em um serviço como o MySQL ou o MongoDB, ele imediatamente exclui quase todos os bancos de dados no servidor e exibe uma mensagem de resgate. “Como o malware exclui os bancos de dados baseados no brute, forçando credenciais fracas para serviços específicos, isso também pode acontecer no Windows com as mesmas portas / serviços abertos e credenciais fracas”, alerta Olson.

Sombras de WannaCry, NotPetya

As amostras do Xbash analisadas pelos pesquisadores da Palo Alto Networks mostram que os autores do Xbash estão desenvolvendo um novo recurso que permitirá ao malware varrer redes infectadas em busca de outros servidores vulneráveis. O recurso ainda não foi ativado, mas se for, o Xbash será capaz de se espalhar rapidamente dentro de uma rede infectada, como fez o ransomware WannaCray e Petya / NotPetya.

Para as organizações, ferramentas de malware multifuncionais e altamente modulares estão rapidamente se tornando uma nova ameaça. Nas últimas semanas, vários fornecedores de segurança emitiram avisos sobre ferramentas de malware capazes de realizar várias funções maliciosas ou de serem modificadas após a instalação para fazer coisas diferentes.

O Proofpoint , por exemplo, recentemente alertou sobre o AdvisorsBot e o Marap, duas ferramentas modulares que permitem que criminosos adicionem novas funções ao malware que já foi instalado em um sistema. Em um comunicado de agosto , a Kaspersky Lab informou que observou uma duplicação aproximada das ferramentas de acesso remoto multiuso sendo distribuídas via botnets nos últimos 18 meses, de 6,5% para 12,2%.

A tendência destaca a necessidade de uma abordagem de alto nível para a defesa contra ameaças. “É melhor que as organizações e os defensores se concentrem na prevenção do que as ameaças específicas”, observa Olson. “Uma abordagem baseada em ameaças contra o Xbash exigiria múltiplas ameaças contra múltiplos vetores, o que não é escalável e é inerentemente vantajoso para os hackers.”

 

Fonte: Dark Reading

Autor: Jai Vijayan