Aktive Gruppe hat Fiesling entwickelt
Aller Wahrscheinlichkeit nach stammt die auf den Namen "XBash" getaufte Malware von einer Gruppe, die in den letzten zwei Jahren mit diversen Aktivitäten aufgefallen ist, wie winfuture.de unter Berufung auf eine Mitteilung von Palo Alto dazu berichtete.
XBash vereint verschiedene Schadroutinen, die dafür sorgen, dass der Schadcode sich erst einmal wie ein klassischer Wurm verbreitet. Dabei baut die Malware nach und nach ein Botnetz auf, in dem Cryptowährungen berechnet werden. Die betroffenen Systeme werden außerdem gegenüber ihren Nutzern abgeriegelt und es wird versucht ein Lösegeld zu erpressen.
Ransomware oder Cryptomining
Die Module sind nicht immer gleichzeitig aktiv. So wird beispielsweise die Ransomware-Komponente meist nur eingesetzt, wenn Linux-Server erfolgreich infiziert wurden. Bei Windows-Servern wird hingegen meist das Cryptomining beobachtet.
Die Verbreitung erfolgt in erster Linie darüber, dass die Malware von einem infizierten System nach weiteren Geräten sucht, auf denen Web-Anwendungen mit bekannten Schwachstellen laufen. Diese werden dann attackiert. Betroffen sind unter anderem
- aktive Hadoop-,
- Redis- und
- ActiveMQ-Server,
die nicht hinreichend gepatcht sind.
Ein zweites Scanner-Modul sucht parallel nach alternativen Verbreitungswegen
- insbesondere nach aktiven Installationen verschiedener Dienste oder Datenbanken, die Nutzer-Accounts ohne gesetztes Passwort öffentlich bereitstellen.
Die Ransomware-Komponente verschlüsselt Datenbanken und gibt an, dass diese gegen Zahlung von 0,02 Bitcoin wiederhergestellt werden können. Weiterhin wird behauptet, es sei ein Backup an die Entwickler geschickt worden - dafür fehlt der Malware in Wahrheit aber der passende Code, wie sich in den Analysen zeigte.
Weiterführende Links:
researchcenter.paloaltonetworks.com: Xbash Combines Botnet, Ransomware, Coinmining in Worm that Targets Linux and Windows
winfuture.de: XBash: Über-Malware greift Windows und Linux gleichzeitig an
