Xbash – um malware tudo-em-um que infecta servidores Linux e Windows
Nas últimas semanas, vários servidores e sistemas têm sido infetados por um novo malware apelidado de Xbash, o qual pode ser considerado um malware “tudo em um”.
De acordo com os investigadores da empresa de segurança “Palo Alto Networks”, o Xbash pode infetar qualquer sistema Linux ou Windows – na sua grande maioria servidores – com vista a encriptar os conteúdos ou proceder com a instalação de sistemas de mineração para criptomoedas.
Segundo os investigadores, é normal encontrar-se malware que pode ser utilizado em diferentes sistemas operativos, mas o Xbash possui algumas características que o tornam único e consideravelmente mais avançado que outras variantes. O malware encontra-se desenvolvido para que, uma vez instalado num sistema, possa propagar-se de forma quase imediata para outros sistemas na mesma rede – aumentando assim a possibilidade de infeção para outras maquinas.
No caso de sistemas Linux, o malware instala um ransomware no sistema e ainda uma botnet – que pode ser controlada remotamente pelos atacantes. No caso de sistemas Windows, o mesmo instala um sistema de mineração para criptomoedas, que utiliza o poder de processamento do sistema para minerar criptomoedas nas contas dos atacantes.
Nos servidores Linux são ainda realizadas tentativas para eliminar qualquer base de dados existente, de forma permanente e que não pode ser recuperada – apesar de a mensagem deixada pelo malware referir que as bases de dados foram enviadas para terceiros. Mesmo que as empresas paguem pelo ransomware, estas bases de dados não serão recuperadas.
Entre as particularidades deste malware encontra-se a forma como identifica e encontra os potenciais servidores. O malware não utiliza uma lista aleatória de IPs como potenciais alvos, mas sim mantém uma ligação direta com os servidores em posse dos atacantes para receber os IPs de forma regular e especifica. Além disso, são também pesquisadas vulnerabilidades nos principais programas de um servidor – como o Apache e MySQL – com vista a permitir a replicação para outros sistemas – incluindo até para sistemas em redes internas e não ligadas publicamente na Internet. Este não será, segundo os investigadores, um método regular de se encontrar neste tipo de malwares.
Infelizmente, para os servidores que sejam afetados por ransomware, será improvável a recuperação dos dados mesmo que o ransomware seja pago. Os investigadores apontam que o malware não possui capacidade de desencriptar os dados uma vez processado o ataque, pelo que é impossível a sua recuperação mesmo que o valor fornecido seja pago.
Até ao momento, pelo menos 48 utilizadores foram afetados pelo ransomware, tendo pago cerca de 0.964 bitcoins aos atacantes – ou cerca de 6000 dólares na cotação atual da criptomoeda.