研究人员发现了具有僵尸网络、勒索功能和挖掘

Palo Alto Networks的Unit 42研究团队发现了一种新的恶意软件类,能够针对Linux和Windows服务器,将硬币挖掘,僵尸网络和勒索软件功能结合在一个自我扩展的蠕虫软件包中。

正如Unit 42研究团队所详述的那样,名为Xbash的新恶意软件系列与Iron Group有关,Iron Group是一个以前知道可以执行勒索软件攻击的威胁行为者,显然已经转向更复杂的攻击媒介。

据观察,Xbash使用可利用的漏洞和弱密码强制组合在服务器之间传播,与其他勒索软件不同,默认情况下启用了数据销毁功能,没有恢复功能,几乎不可能进行文件恢复。

研究人员发现了具有僵尸网络、勒索功能和挖掘

此外,Xbash的僵尸网络和勒索软件组件通过利用未受保护和易受攻击但未修补的服务来定位Linux服务器,立即清除MySQL,PostgreSQL和MongoDB数据库,并要求比特币赎金(假设)恢复数据。

另一方面,Xbash的硬币挖掘和自传播模块旨在使用未修补的Hadoop,Redis和ActiveMQ数据库中的已知漏洞来破坏Windows系统。

研究人员发现了具有僵尸网络、勒索功能和挖掘

Xbash使用在自传播蠕虫中打包多类威胁的创造性方法

此外,Xbash具有自我传播的能力,类似于Petya/NoPetya和WannaCry的能力,以及尚未启用的传播功能集合,但可以使其在企业或家庭网络中快速传播。

Xbash还具有由代码编译,代码压缩和转换以及代码加密提供支持的反检测功能,所有这些功能都会模糊其恶意行为,以防止反恶意软件工具检测到它。

研究人员发现了具有僵尸网络、勒索功能和挖掘

Unit 42研究团队已经发现48个传入交易到Xbash勒索软件组件中的硬编码钱包总计6000美元,这意味着新的恶意软件系列已经活跃并收集受害者的赎金。

正如Palo Alto Networks的研究团队所报告的那样,公司和个人可以采取一些缓解措施来保护他们的系统免受Xbash攻击。

因此,他们必须使用强密码,始终为操作系统和程序安装安全更新,尽可能频繁地进行数据备份,并限制对未知远程服务器的访问,以阻止恶意软件与其命令和控制服务器联系以获取进一步的指示。

Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/3e2641d741c08e130f6fa9cc9d109bac.html