Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views : Ad Clicks : Ad Views :
img

Xbash – un nou malware criptează fișierele chiar și după ce plata a fost efectuată

/
/
/

Ransomware a ajuns de la obscuritate până la infamie în cel mai scurt timp. Campaniile de primă mână, cum ar fi WannaCry, Petya și NotPetya, au precedat o creștere substanțială a numărului de atacuri mici, folosind tehnici similare pentru a înșela utilizatorii de internet nepregătiți. Acum, cercetătorii de la Palo Alto Networks au dezvăluit noi malware-uri care poartă moștenirea lui NotPetya, combinând diferite tipuri de amenințări într-un singur pachet.

Cercetătorii, denumiți Unit 42, au numit acest nou malware Xbash. Se spune că acesta combină un bot net, un software de ransomware și de minare a cryptomonedelor într-un singur vierme și atacă servere care folosesc Linux sau Windows. Cercetătorii dau vina pe o entitate numită Iron Group pentru creația lui Xbash, care a fost legată și de alte atacuri de răscumpărare. Se crede că malware-ul a fost folosit pentru prima dată în mai 2018.

O reîmprospătare rapidă a ce înseamnă ransomware: este o formă de malware care criptează fișierele de pe sistemul victimei și cere plata în schimbul restaurării lor. Aceste taxe sunt de obicei plătite în Bitcoin, ceea ce este mai greu de urmărit decât o monedă tradițională, iar ideea este că trimiterea plății va solicita atacatorilor să partajeze parola utilizată pentru a cripta fișierele victimei. Dacă se întâmplă acest lucru, accesul la aceste fișiere ar trebui să fie restaurat.

Problema este că nu se întâmplă întotdeauna. Unit 42 a spus că Xbash, la fel ca NotPetya, nu are în realitate niciun fel de caracteristici dedicate restaurării datelor. Încă mai solicită o răscumpărare – și 48 de victime au plătit atacatorilor până la 6 000 de dolari în Bitcoin – dar acele dosare vor rămâne criptate chiar dacă sunt plătite.

Unit 42 a spus că Xbash funcționează diferit în funcție de sistemul de operare pe care îl întâlnește. Dispozitivele Linux sunt supuse aspectului ransomware și sunt folosite și pentru a crea rețelele de boot malware. Dispozitivele Windows, pe de altă parte, sunt folosite pentru exploatarea prin criptare și auto-propagare. Țintind ambele sisteme de operare permite operatorilor Xbash (probabil Iron Group) să creeze cât mai mult haos posibil, indiferent de serverul pe care l-au compromis.

Xbash are, de asemenea, o caracteristică care îi permite să examineze și să compromită intranetul unei organizații. Această caracteristică nu este activată în prezent, dar Unit 42 a avertizat că, dacă este activată, „această funcționalitate intranet ar putea face Xbash chiar și mai devastator” decât este acum. Rețelele interne prezintă adesea mai puțină securitate decât cele externe; compromiterea acestor rețele ar putea permite lui Xbash să intervină în serviciile vitale ale unei organizații.

Unit 42 a descoperit până în prezent patru versiuni ale lui Xbash, iar cercetătorii au spus că „diferențele dintre cod și timestamp arată că este încă în curs de dezvoltare activă„. Această dezvoltare ar putea fi utilizată pentru a introduce noi funcționalități, a permite caracteristica de direcționare în intranet deja prezentă în malware sau pentru a ajuta Xbash să evite mai bine detectarea. Dezvoltarea activă înseamnă că amenințarea malware-ului este în continuă evoluție.

Cea mai bună modalitate de a atenua daunele cauzate de malware precum Xbash este să faceți copii de siguranță în mod regulat la fișierele importante, să luați toate măsurile de siguranță obișnuite și să vă asigurați că nimeni nu plătește răscumpărarea. În ciuda numelui său, ransomware-ul devine rapid ceva mai asemănător cu „extortionware”, așa că este mai bine să nu plătiți Bitcoin decât să întrețineți această schemă.

Sursa

  • Facebook
  • Twitter
  • Google+
  • Linkedin
  • Pinterest

Leave a Comment

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

This div height required for enabling the sticky sidebar