Xbash
O Xbash é uma ameaça que está começando a ganhar muita atenção e pode, possivelmente, ser uma das ameaças mais significativas detectadas em 2018. O Xbash é escrito usando a linguagem de programação Python. O Xbash pode ser usado para realizar diversos tipos de ataques. Alguns exemplos de como os criminosos podem usar o Xbash para realizar ataques, envolvem seqüestrar os computadores das vítimas para integrá-los em botnets (redes de computadores infectados que podem ser coordenados para realizar ataques), usando o sistema do computador infectado para extrair moeda digital sem o conhecimento da vítima ouapagar os dados da vítima permanentemente. Um aspecto específico do Xbash que atraiu atenção, são os seus recursos de worm, que permitem ao Xbash infectar outros computadores na rede do computador infectado, aumentando o grau de dano que essa ameaça pode causar.
Índice
Como o Xbash se Infiltra em um Computador
O Xbash recebe uma atualização constante dos endereços de IP que podem estar vulneráveis. Os servidores de Comando e Controle do Xbash, operados pelos criminosos responsáveis pela ameaça do Xbash, enviam essas atualizações. Depois que o Xbash é instalado no computador da vítima, o Xbash digitaliza as portas do computador infectado, procurando por tipos de serviços específicos, tais como serviços de transferência de arquivos e portas RDP (Remote Desktop Protocol). O Xbash verificará as senhas padrão e tentará usar essas portas para violar os seus alvos. O Xbash também procurará por um software desatualizado como uma maneira de usar explorações que foram corrigidas em atualizações de segurança, mas que podem permanecer inseguras no computador que ele tem como alvo. O Xbash retransmite todas essas informações para o seu servidor de Comando e Controle.
Como o Xbash Carries Executa o Seu Ataque
O Xbash tem várias variantes. No entanto, as versões do Xbash identificadas mais recentemente terão como alvo três programas usados para gerenciar bancos de dados: o MySQL, PostgreSQL e MongoDB. O Xbash só executa o seu ataque se o servidor de destino executar o Linux. Isso é surpreendente, especialmente porque o Linux é geralmente considerado uma alternativa mais segura para o Windows. Enquanto a grande maioria dos ataques de malware atingem o Windows, os ataques de malware no Linux são em número muito menor. O Xbash ataca o banco de dados da vítima. O Xbash não irá criptografar o banco de dados ou exportá-lo para um local externo. Em vez disso, o Xbash simplesmente exclui o banco de dados da vítima e o substitui por um banco de dados chamado 'PLEASE_READ_ME_XYZ'. Esse banco de dados contém uma tabela chamada 'WARNING' que contém a seguinte mensagem:
'Envie 0,02 BTC para este endereço e contate este e-mail com o seu site ou o seu IP ou nome_bd do seu servidor para recuperar o seu banco de dados! Foi feito um backup do seu banco de dados nos nossos servidores! Se não recebermos o seu pagamento, divulgaremos o seu banco de dados
1jqpmcLygJdH8fN7BCk2cwwNBRWqMZqL1
backupsql@pm.me'
Os pesquisadores de segurança do PC informaram que os criminosos responsáveis pelo ataque do Xbash já extorquiram 6.400 dólares e que 48 vítimas pagaram o resgate do Xbash. No entanto, os criminosos não podem restaurar os arquivos excluídos pelo Xbash. Este é um bom exemplo de por que os pesquisadores de segurança recomendam que os usuários de computador nunca paguem os resgates associados a ameaças, pois é igualmente provável que os criminosos não restaurem nenhum dado comprometido por esses ataques e possam até tentar extorquir mais dinheiro ou marquem a vítima para ataques adicionais.
A Operação de Mineração de Moeda Digital do Xbash
O Xbash também é capaz de usar os recursos do computador da vítima para minerar moedas digitais, além de extorquir os usuários do computador. O Xbash digitaliza o computador da vítima em busca de qualquer software de mineração de moedas. Se o Xbash o encontrar, o Xbash irá excluí-lo completamente e, em seguida, substituí-lo pelo software de mineração dos criminosos, que continuará a operar no computador afetado mesmo quando for reiniciado. Isso permite que os criminosos usem o poder de processamento do computador infectado e outros recursos para gerar receita em moeda digital e impedir que as vítimas minerem as suas próprias moedas.
