研究人员发现了具有僵尸网络功能勒索软件和挖掘加密货币的新蠕虫

时间: 2018-09-18 12:49:58 作者: 管理员

Palo Alto Networks的Unit 42研究团队发现了一类新的恶意软件,它将加密货币挖掘,僵尸网络和勒索软件功能整合到一个用于Linux和Windows服务器的自扩展蠕虫软件包中。正如第42单元所详述的,名为Xbash的新恶意软件系列与Iron Group有关,Iron Group是一个以前已知能够执行勒索软件攻击的威胁行为者,显然转向更复杂的攻击媒介。

据观察,Xbash使用可利用漏洞和弱密码的组合在服务器之间传播。与其他勒索软件不同,默认情况下会启用数据销毁。没有恢复,几乎不可能恢复文件。此外,Xbash的僵尸网络和勒索软件组件使用未受保护且易受攻击但未修补的服务来定位Linux服务器,立即清除MySQL,PostgreSQL和MongoDB,并要求比特币赎金来恢复数据。
另一方面,Xbash的加密货币挖掘和自传播模块旨在利用已知未修补的Hadoop,Redis和ActiveMQ数据库中的Windows漏洞。此外,Xbash具有自我传播的能力,类似于Petya / NoPetya和WannaCry的功能,以及尚未启用的传播功能集,但可以快速传播到企业或家庭网络。
Xbash还具有代码编译,代码压缩和转换以及代码加密支持的反检测功能,所有这些都掩盖了其恶意行为,以防止反恶意软件工具检测到它。第42单元发现,传入Xbash勒索软件组件的48个硬编码钱包总计6,000美元,这意味着新的恶意软件系列已经处于活动状态并收集受害者的赎金。