Los
investigadores de Palo Alto
Networks encontraron en 2018 un malware llamado Xbash, que es un cóctel
letal de software de botnet,
ransomware y minería de criptomoneda combinado en un solo gusano.
Malware Xbash
Xbash se dirige a los servidores que se ejecutan en Linux o Windows y se aprovechan de los sistemas que están protegidos por contraseñas débiles o dispositivos que se ejecutan con vulnerabilidades conocidas sin parches.
Este malware se comporta de manera diferente en función del sistema operativo
en el que está funcionando. Xbash muestra su aspecto de ransomware en dispositivos Linux y crea redes de bots en
él, mientras que los dispositivos de
Windows están destinados a la minería de criptomonedas y la
autopropagación.
El
ransomware generalmente cifra el archivo
de una víctima y exige el pago a cambio de su restauración. Pero el problema
es que los archivos no siempre se restauran.
Al
igual que el notorio NotPetya , Xbash realmente no tiene ninguna
característica para restaurar los datos. De todos modos, pide un rescate después
del cifrado, pero incluso después del pago, los archivos permanecen
encriptados.
Hasta
el momento (Septiembre de 2018), 48 personas han sido víctimas de este y pagaron casi $6,000 en
Bitcoin a los atacantes. Por lo tanto, Xbash no es exactamente un
ransomware, ya que su verdadero objetivo parece ser la destrucción completa de
los datos de la víctima.
Lo
que hace que Xbash sea realmente peligroso es su capacidad de comprometer la
intranet de una organización. Esta característica no está activa
actualmente, pero una vez habilitada, pone en peligro esas redes y permite que
los atacantes interfieran con los servicios cruciales de una organización.
Según
los investigadores de seguridad, una entidad llamada Iron Group está detrás de
la creación de Xbash y están vinculadas a otros ataques de ransomware
también. El malware se detectó por primera vez en mayo de 2018 y hasta la
fecha se han encontrado cuatro versiones de Xbash.
Dado
que existe una diferencia en el código y la marca de tiempo en todas las
versiones, los investigadores creen que este malware aún está en
desarrollo. Esto significa que los atacantes agregan funcionalidades más
letales o activan la función de orientación de intranet.
Cualquiera
que sea el caso, uno debe respaldar regularmente archivos importantes y tomar
las medidas de seguridad habituales para evitar ser víctima de tales ataques.
¿Qué
opinas de este peligroso malware? Por favor comparte el post en las redes
sociales.
Fuente:
Fossbytes