MySQLデータベースでXbashによって作成された身代金メッセージ
「」と呼ばれる新しいマルウェア Xbash ’はユニット42の研究者によって発見されました。 パロアルトネットワークスのブログ投稿が報告しました 。このマルウェアは、そのターゲティング能力が独特であり、MicrosoftWindowsサーバーとLinuxサーバーに同時に影響を及ぼします。 Unit 42の研究者は、このマルウェアを、以前はランサムウェア攻撃で知られている脅威アクターグループであるIronGroupに関連付けました。
ブログ投稿によると、Xbashには、コインマイニング、自己伝播、およびランサムウェアの機能があります。また、実装すると、WannaCryやPetya / NotPetyaのように、マルウェアが組織のネットワーク内でかなり迅速に拡散できるようにするいくつかの機能も備えています。
Xbashの特性
この新しいマルウェアの特徴について、Unit 42の研究者は次のように書いています。「最近、Unit42はPaloAlto Networks WildFireを使用して、Linuxサーバーを標的とする新しいマルウェアファミリーを特定しました。さらに調査した結果、今年、アクティブなサイバー犯罪グループIron(別名Rocke)によって開発されたのはボットネットとランサムウェアの組み合わせであることがわかりました。この新しいマルウェアは、悪意のあるコードの元のメインモジュールの名前に基づいて「Xbash」と名付けました。」
Iron Groupは以前、主にMicrosoftWindowsを標的とすることを目的とした暗号通貨トランザクションハイジャックまたはマイナートロイの木馬の開発と拡散を目的としていました。ただし、Xbashは、保護されていないすべてのサービスの検出、ユーザーのMySQL、PostgreSQL、MongoDBデータベースの削除、ビットコインの身代金を目的としています。 XbashがWindowsシステムに感染するために使用している3つの既知の脆弱性は、Hadoop、Redis、およびActiveMQです。
Xbashは主に、パッチが適用されていない脆弱性と脆弱なパスワードを標的にすることで拡散します。です データ破壊的 、ランサムウェア機能としてLinuxベースのデータベースを破壊することを意味します。 Xbashには、身代金が支払われた後に破壊されたデータを復元する機能もありません。
GafgytやMiraiなどの以前の有名なLinuxボットネットとは異なり、Xbashは、ドメインとIPアドレスをターゲットとするため、ターゲットを公開Webサイトに拡張する次のレベルのLinuxボットネットです。
Xbashは、被害者のサブネット内のIPアドレスのリストを生成し、ポートスキャンを実行します(パロアルトネットワークス)
マルウェアの機能には、他にもいくつかの詳細があります。
- ボットネット、コインマイニング、ランサムウェア、および自己伝播機能を備えています。
- ランサムウェアとボットネットの機能については、Linuxベースのシステムを対象としています。
- これは、Microsoft Windowsベースのシステムを対象として、そのコインマイニングおよび自己伝播機能を備えています。
- ランサムウェアコンポーネントは、Linuxベースのデータベースを標的にして削除します。
- 現在までに、これらのウォレットへの48の着信トランザクションが観察され、総収入は約0.964ビットコインであり、48人の犠牲者が合計約6,000米ドルを支払ったことを意味します(この記事の執筆時点)。
- しかし、支払われた身代金が犠牲者の回復につながったという証拠はありません。
- 実際、身代金の支払いを通じて回復を可能にする機能の証拠は見つかりません。
- 私たちの分析によると、これは、リモートコントロールシステム(RCS)を使用するキャンペーンを含む他のランサムウェアキャンペーンに公的にリンクされているグループであるIron Groupの作業である可能性が高く、そのソースコードは「」から盗まれたと考えられています。 ハッキングチーム 」2015年。
Xbashに対する保護
組織は、Xbashによる攻撃の可能性から身を守るために、Unit42の研究者から提供されたいくつかのテクニックとヒントを使用できます。
- 強力なデフォルト以外のパスワードの使用
- セキュリティアップデートを最新に保つ
- MicrosoftWindowsおよびLinuxシステムへのエンドポイントセキュリティの実装
- インターネット上の未知のホストへのアクセスを防止する(コマンドアンドコントロールサーバーへのアクセスを防止するため)
- 厳密で効果的なバックアップと復元のプロセスと手順を実装および維持します。