Le malware Xbash est l’une des nombreuses nouvelles menaces de logiciels malveillants qui ont été détectées au cours des dernières semaines et qui intègrent les propriétés de cryptage de fichiers des ransomwares avec la fonctionnalité de minage de cryptomonnaires de certains logiciels malveillants.
Cette année, plusieurs sociétés de cybersécurité et de renseignements sur les menaces ont signalé que les attaques de rançon ont plafonné ou sont en déclin. Les attaques de ransomwares sont toujours rentables, bien qu’il soit possible de gagner plus d’argent grâce au minage de cryptomonnaies.
Le récent rapport d’Europol sur les menaces liées à la criminalité organisée sur Internet, publié récemment, note que le détournement par cryptage est une nouvelle tendance de la cybercriminalité et constitue désormais une source de revenus régulière et à faible risque pour les cybercriminels, mais que « les logiciels rançon restent la principale menace des logiciels malveillants ». Europol note dans son rapport que le nombre d’attaques aléatoires par courrier électronique non sollicité a diminué, alors que les cybercriminels se concentrent sur les entreprises où les profits sont les plus importants. Ces attaques sont très ciblées.
Une autre tendance émergente offre aux cybercriminels le meilleur des deux mondes – l’utilisation de logiciels malveillants polyvalents qui ont les propriétés à la fois des ransomwares et des mineurs de cryptomonnaie. Ces variantes très polyvalentes de malwares offrent aux cybercriminels la possibilité d’obtenir des paiements de rançon ainsi que la possibilité de miner de la cryptomonnaie. Si le logiciel malveillant est installé sur un système qui n’est pas parfaitement adapté à l’extraction de cryptomonnaie, la fonction ransomware est activée et vice versa.
Le malware Xbash est l’une de ces menaces, bien qu’avec une mise en garde majeure. Le malware Xbash n’a pas la capacité de restaurer les fichiers. A cet égard, il est plus proche de NotPetya que de Cerber. Comme c’était le cas avec NotPetya, les logiciels malveillants Xbash se déguisent en rançon et demandent un paiement pour restaurer les fichiers – Actuellement 0.2 BTC ($127). Le paiement de la rançon n’entraînera pas la fourniture de clés pour déverrouiller les fichiers chiffrés, car les fichiers ne sont pas vraiment chiffrés. Le malware supprime simplement les bases de données MySQL, PostgreSQL et MongoDB. Cette fonction est activée si le malware est installé sur un système Linux. S’il est installé sur des périphériques Windows, la fonction de cryptojacking est activée.
Xbash a également la capacité de se propager lui-même. Une fois installé sur un système Windows, il se répandra sur le réseau en exploitant les vulnérabilités des services Hadoop, ActiveMQ et Redis.
Les logiciels malveillants Xbash sont écrits en Python et compilés dans un format exécutable portable (PE) en utilisant PyInstaller. Le logiciel malveillant exécutera sa routine de chiffrement/suppression de fichiers sur les systèmes Linux et utilisera JavaScript ou VBScript pour télécharger et exécuter un coinminer sur les systèmes Windows. L’Unité42 de Palo Alto Networks a attribué le malware à un groupe de menaces connu sous le nom d’Iron Group, qui a déjà été associé à des attaques par rançon de logiciels.
Actuellement, l’infection se produit par l’exploitation de vulnérabilités non corrigées et des attaques par force brute sur des systèmes dont les mots de passe et les services non protégés sont faibles. La protection contre cette menace nécessite l’utilisation de mots de passe forts et uniques sans défaut, de correctifs rapides et de solutions de sécurité des terminaux. Bloquer l’accès à des hôtes inconnus sur Internet empêchera la communication avec son C2 s’il est installé, et il est naturellement essentiel que de multiples sauvegardes soient effectuées régulièrement pour assurer que la récupération des fichiers est possible.
Kaspersky Lab a déterminé que le nombre de ces outils d’accès à distance polyvalents a doublé au cours des 18 derniers mois et que leur popularité devrait continuer à augmenter. Ce type de logiciel malveillant polyvalent pourrait bien s’avérer être le logiciel malveillant de choix pour les acteurs de menaces avancées au cours des 12 prochains mois.