Phần mềm độc hại XBash tích hợp ransomware, khai thác tiền ảo & Botnet

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Người dùng Windows & Linux cần cẩn thận với phần mềm độc hại XBash tích hợp ransomware, khai thác tiền ảo, botnet và worm tự lan truyền.

securitydaily Phần mềm độc hại XBash tích hợp ransomware, khai thác tiền ảo và Botnet

Được đặt tên là XBash, phần mềm độc hại này được biết là sản phẩm của Iron Group hay còn gọi là Rocke – nhóm tin tặc đã gây ra những cuộc tấn công không gian mạng trước đây.

Theo các nhà nghiên cứu tại Palo Alto, phần mềm độc hại XBash là phần mềm tích hợp ransomware và khả năng khai thác tiền ảo, cùng với khả năng giống worm như WannaCry hay Petya/NotPetya.

Ngoài khả năng tự lan truyền truyền, phần mềm độc hại XBash cũng có một chức năng chưa được triển khai có thể cho phép phần mềm độc hại này lây lan nhanh chóng trong mạng lưới của một tổ chức.

Được viết trên Python, phần mềm độc hại XBash nhắm tới các dịch vụ web có lỗ hổng hoặc không được bảo vệ và xóa bỏ cơ sở dữ liệu của những trang đó ví dụ như MySQL, PostgreSQL và MongoDB trên máy chủ Linux.

Tuy nhiên: Trả tiền chuộc sẽ không giúp bạn được gì!

Xbash được thiết kế để quét các dịch vụ trên một địa chỉ IP, trên cả cổng TCP và UDP như HTTP, VNC, MySQL/MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, cơ sở dữ liệu Oracle, CouchDB, Rlogin và PostgreSQL.

Một khi tìm thấy một cổng mở, phần mềm độc hại XBash sử dụng một loạt tên người dùng và mật khẩu yếu để tấn công brute-force vào dịch vụ đó, và một khi truy cập được thì phần mềm này sẽ xóa tất cả cơ sở dữ liệu và hiển thị tin nhắn tống tiền.

Tuy nhiên kể cả khi đã trả tiền chuộc nhưng phần mềm độc hại này lại không có chức năng khôi phục những cơ sở dữ liệu đã bị xóa.

XBash còn có khả năng thêm hệ thống Linux vào botnet. Bên cạnh đó, XBash nhắm vào Windows chỉ với tính năng khai thác tiền ảo và tự lan truyền. Với tính năng tự lan truyền, XBash lợi dụng ba lỗ hổng trong Hadoop, Redis và ActiveMQ.

Như đã đề cập ở trên, Xbash được phát triển trên Python và sau đó được chuyển thành Portable Executable (PE) bằng PyInstaller, có thể tạo các tệp nhị phân cho nhiều nền tảng, bao gồm Windows, Apple macOS và Linux, đồng thời cung cấp tính năng chống phát hiện.

Điều này cho phép XBash thực sự là phần mềm độc hại trên nhiều nền tảng, tuy nhiên, tại thời điểm viết bài, các nhà nghiên cứu đã tìm thấy phiên bản XBash dành cho Linux và không thấy bất kỳ phiên bản nào dành Windows hay MacOS.

Người dùng có thể tự bảo vệ mình khỏi phần mềm độc hại XBash bằng cách thực hành các biện pháp bảo mật cơ bản sau, bao gồm:

  • thay đổi thông tin đăng nhập mặc định trên hệ thống của bạn,
  • sử dụng mật khẩu mạnh và độc đáo,
  • luôn cập nhật hệ điều hành và phần mềm,
  • tránh việc tải về và chạy tập tin không đáng tin cậy hoặc click vào liên kết,
  • sao lưu dữ liệu thường xuyên,
  • ngăn chặn kết nối trái phép bằng cách sử dụng tường lửa.

THN