Onderzoekers van securitybedrijf Palo Alto Networks hebben naar eigen zeggen nieuwe malware ontdekt die verschillende eigenschappen zoals ransomware en cryptomining combineert en zowel Linux- als Windows-servers aanvalt. In het geval van Linux-systemen kan de malware, die Xbash wordt genoemd, grote gevolgen hebben.
Om toegang tot systemen te krijgen maakt Xbash gebruik van zwakke wachtwoorden en drie en twee jaar oude kwetsbaarheden die niet door beheerders zijn gepatcht. De beveiligingslekken bevinden zich in Hadoop, Redis en ActiveMQ. Wanneer de malware toegang weet te krijgen en op het systeem een MySQL-, MongoDB- of PostgreSQL-database aantreft, zal het die verwijderen.
Vervolgens wordt er een nieuwe database aangemaakt met daarin de melding dat er 0,02 bitcoin moet worden betaald om de database terug te krijgen, wat op het moment 110 euro is. Onderzoekers stellen dat de gebruikte bitcoin-adressen van de aanvallers 48 transacties hebben ontvangen, met een totaalbedrag van 0,964 bitcoin. Dat is op dit moment 5200 euro. Er zijn echter geen aanwijzingen dat slachtoffers na het betalen hun database hebben teruggekregen.
Wanneer Xbash merkt dat het een Windows-systeem heeft geïnfecteerd wordt er een cryptominer geïnstalleerd die het systeem naar cryptovaluta laat delven. Verder werd er in de malware code aangetroffen om intranetten van organisaties te scannen, maar was deze functionaliteit nog niet in Xbash ingeschakeld. Om zich tegen de malware te beschermen krijgen organisaties het advies sterke wachtwoorden te kiezen, beveiligingsupdates te installeren, back-ups te maken en te voorkomen dat systemen verbinding met onbekende hosts op het internet kunnen maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.