به گزارش گرداب، این بدافزار که پژوهشگران Palo Alto Network's Unit ۴۲ آن‌را Xbash نامگذاری کرده‌اند، سرورهای لینوکس و ویندوز را هدف قرار می‌دهد و دارای قابلیت‌هایی است که وقتی به طور کامل پیاده‌سازی شوند، می‌تواند به سرعت در داخل شبکه سازمان گسترش یابد.

تجزیه و تحلیل پژوهشگران Palo Alto Network نشان می‌دهد که قابلیت‌های باج‌افزاری و بات‌نتی بدافزار در سرورهای لینوکس مورد استفاده قرار گرفته و سرورهای ویندوز برای استخراج ارز و خود انتشاری استفاده شده است. قابلیت باج‌افزاری Xbash برای هدف‌گیری و حذف پایگاه‌داده‌های مبتنی بر لینوکس طراحی شده است. متاسفانه به نظر می‌رسد که بدافزار حتی اگر قربانی باج را پرداخت کند، هیچ گونه عملکردی برای بازیابی داده‌های از دست رفته نداشته باشد. تا‌کنون حداقل ۴۸ قربانی مبلغ ۶۰۰۰ دلار به مهاجمان پرداخت کرده‌اند، اما شواهدی مبنی بر بازیابی داده‌های حذف شده توسط Xbash وجود ندارد.

ظاهرا بدافزار توسط Iron Group توسعه یافته است. این گروه پیشتر حملات باج‌افزاری و گسترش ابزارهای کاوش ارز را در محیط‌های ویندوزی انجام داده است. به نظر می‌رسد این گروه با Xbash اهداف خود را گسترش داده تا سیستم‌های لینوکسی را نیز هدف قرار دهد.

بر خلاف سایر بدافزارهای لینوکسی مانند Gafgyt و Mirai که دستگاه‌های آسیب‌پذیر را با آدرس‌های IP تولید شده بصورت تصادفی پیدا می‌کنند، بدافزار Xbash دستگاه‌های آسیب‌پذیر را از طریق نام دامنه پیدا می‌کند. این قابلیت باعث می شود که شناسایی Xbash با استفاده از هانی‌پات‌ها دشوارتر شود. بدافزار Xbash با استفاده از آزمایش گذرواژه‌های ضعیف و روش brute-force وارد سرویس‌های مختلف می‌شود. زمانی که بدافزار به سرویسی مانند MySQL یا MongoDB نفوذ می‌کند، تمامی پایگاه‌داده‌های روی سرور را حذف می‌کند و پیام باج را به کاربر نمایش می‌دهد.

نمونه‌هایی از Xbash نشان می‌دهد که نویسندگان آن در حال توسعه قابلیت‌های جدیدی هستند تا سرورهای آسیب‌پذیر دیگری را نیز آلوده کنند. بدافزارهای ماژولار و چند قابلیتی تهدید جدیدی برای سازمان‌‌ها هستند. 

منبع: افتا