Palo Alto Networks: Xbash kombiniert Botnet, Ransomware, Coinmining - Ziel: Linux und Windows

26. September 2018 - Forscher der "Unit 42" von Palo Alto Networks haben eine neue Malware-Familie gefunden, die auf Linux- und Microsoft Windows-Server abzielt. "Unit 42" konnte diese Malware, die "Xbash" getauft wurde, mit der "Iron Group" in Verbindung bringen, eine von früheren Ransomware-Angriffen bekannte Bedrohungsgruppe. "Xbash" besitzt sowohl Ransomware wie auch Coinmining-Fähigkeiten. Weiter sind ebenfalls selbst-propagierende Funktionalitäten enthalten (Wurmähnliche Eigenschaften ähnlich wie bei WannaCry oder Petya/NotPetya). Es verfügt daneben über Funktionen, die derzeit noch nicht aktiviert sind, um eine schnelle Verbreitung innerhalb eines Unternehmensnetzwerkes zu ermöglichen (Wiederum ähnlich wie bei WannaCry oder Petya/NotPetya).

"Xbash" verbreitet sich über Angriffsversuche auf schwache/standardisierte Kennwörter sowie über ungepatchte Softwareschwachstellen.

"Xbash" ist höchst destruktiv und darauf ausgelegt ganze Datenbanken, als Teil seiner Ransomware-Fähigkeit, komplett zu zerstören. Palo Alto Networks konnte auch keine Funktionalität innerhalb von "Xbash" finden, welche eine Wiederherstellung nach der Lösegeldzahlung ermöglichen würde. Dies bedeutet, dass "Xbash", ähnlich wie "NotPetya", eine rein datenschädigende Malware ist, welche sich trotzdem als Ransomware ausgibt bzw. tarnt.

 

Organisationen können sich gegen "Xbash" schützen, indem sie:

  • Starke, nicht standardmässige Kennwörter verwenden
  • Aktuelle Sicherheitsupdates einspielen
  • Eine Endpunktschutzlösung auch auf Microsoft Windows- und Linux-Server-Systemen implementieren
  • Zugriffe auf unbekannte Hosts im Internet verhindern (um die Kommunikation mit Befehls- und Kontrollserver (C&C) zu verhindern)
  • Implementierung und Wartung von rigorosen und effektiven Sicherungs- und Wiederherstellungsprozessen und -prozeduren praktizieren

 

Im Folgenden finden Sie einige genauere Informationen zu "Xbashs" Fähigkeiten:

  • Es kombiniert Botnet, Coinmining, Ransomware und Selbstausbreitung
  • Es zielt auf Linux-basierte Systeme für seine Ransomware- und Botnet-Fähigkeiten ab
  • Es zielt auf Microsoft Windows-basierte Systeme für seine Coinmining- und Selbstausbreitungsfähigkeiten ab
  • Die Ransomware-Komponente zielt und löscht Linux-basierte Datenbanken

 

Bis heute hat die "Unit 42" bereits 48 eingehende Transaktionen zu den entsprechenden Bitcoin-Wallets mit einem Gesamteinkommen von etwa 0,964 Bitcoins beobachtet, was bedeutet, dass 48 Opfer insgesamt etwa 6.000 US-Dollar bezahlt haben (zum Zeitpunkt der Erstellung dieses Artikels). Allerdings gibt es keine Beweise dafür, dass die bezahlten Lösegelder zu einer Wiederherstellung der Opferdatenbanken geführt haben. In der Tat kann "Unit 42" im Schadcode keinen Beweis für irgendeine Funktionalität finden, die eine Wiederherstellung durch eine Lösegeldzahlung ermöglicht würde. Die Analyse zeigt, dass dies wahrscheinlich die Arbeit der "Iron Group" ist, einer Gruppe, die öffentlich mit anderen Ransomwarekampagnen in Verbindung steht, einschliesslich jener, die das Fernsteuerungssystem (RCS) verwenden, dessen Quellcode im Jahr 2015 vom "HackingTeam" gestohlen wurde.

 

Übrigens: Kunden von Palo Alto Networks sind gegen "Xbash" geschützt.

 

Den ganzen Artikel mit weiteren, interessanten Informationen finden Sie hier.