MySQL डाटाबेस में Xbash द्वारा बनाया गया फिरौती संदेश
एक नया मैलवेयर जिसे ware के रूप में जाना जाता है Xbash 'यूनिट 42 शोधकर्ताओं द्वारा खोजा गया है, पालो अल्टो नेटवर्क में एक ब्लॉग पोस्ट ने सूचना दी है । यह मैलवेयर अपनी लक्ष्यीकरण शक्ति में अद्वितीय है और Microsoft Windows और Linux सर्वरों को एक साथ प्रभावित करता है। यूनिट 42 के शोधकर्ताओं ने इस मैलवेयर को आयरन ग्रुप से जोड़ दिया है जो कि एक खतरनाक अभिनेता समूह है जो पहले रैंसमवेयर हमलों के लिए जाना जाता है।
ब्लॉग पोस्ट के अनुसार, एक्सबाश में संयोग, स्व-प्रचार और रैनसमवेयर क्षमताएं हैं। इसमें कुछ क्षमताएं भी हैं, जो लागू होने पर, किसी संगठन के नेटवर्क के भीतर मालवेयर या पेटीया / नोटपेटी जैसे समान तरीकों से मैलवेयर को तेजी से फैलाने में सक्षम कर सकते हैं।
एक्सबाश लक्षण
इस नए मैलवेयर की विशेषताओं पर टिप्पणी करते हुए, यूनिट 42 शोधकर्ताओं ने लिखा, “हाल ही में यूनिट 42 ने लिनक्स सर्वर को लक्षित करने वाले एक नए मैलवेयर परिवार की पहचान करने के लिए पालो ऑल्टो नेटवर्क वाइल्डफायर का उपयोग किया। आगे की जांच के बाद हमें पता चला कि यह बॉटनेट और रैंसमवेयर का एक संयोजन है जिसे इस साल एक सक्रिय साइबर क्राइम ग्रुप आयरन (उर्फ रॉकी) द्वारा विकसित किया गया था। हमने इस नए मैलवेयर को 'Xbash' नाम दिया है, जो दुर्भावनापूर्ण कोड के मूल मुख्य मॉड्यूल के नाम पर आधारित है। '
आयरन समूह पहले क्रिप्टोक्यूरेंसी लेनदेन को अपहृत करने या फैलाने के उद्देश्य से संचालित था, जो कि ट्रोजन थे जो ज्यादातर Microsoft विंडोज को लक्षित करने के लिए थे। हालांकि, Xbash का उद्देश्य सभी असुरक्षित सेवाओं की खोज करना है, उपयोगकर्ताओं के MySQL, PostgreSQL और MongoDB डेटाबेस को हटाना और Bitcoins के लिए फिरौती। Xbash द्वारा विंडोज सिस्टम को संक्रमित करने के लिए इस्तेमाल की जाने वाली तीन ज्ञात कमजोरियां हैंडोप, रेडिस और एक्टिवएमक्यू।
Xbash मुख्य रूप से किसी भी अनपेक्षित भेद्यता और कमजोर पासवर्ड को लक्षित करके फैलता है। यह है डेटा विनाशकारी , जिसका अर्थ है कि यह लिनक्स-आधारित डेटाबेस को अपनी रैंसमवेयर क्षमताओं के रूप में नष्ट कर देता है। एक्सबाश के भीतर कोई भी कार्यक्षमता मौजूद नहीं है जो फिरौती के भुगतान के बाद नष्ट किए गए डेटा को पुनर्स्थापित करेगा।
Gafgyt और Mirai जैसे पिछले प्रसिद्ध लिनक्स बॉटनेट के विपरीत, Xbash एक अगले स्तर का लिनक्स बॉटनेट है जो सार्वजनिक वेबसाइटों को अपना लक्ष्य प्रदान करता है क्योंकि यह डोमेन और आईपी पते को लक्षित करता है।
एक्सबाश पीड़ित के सबनेट में आईपी पते की सूची बनाता है और पोर्ट स्कैनिंग (पालो अल्टो नेटवर्क) करता है
मैलवेयर की क्षमताओं पर कुछ अन्य बारीकियां हैं:
- इसके पास बॉटनेट, कॉइनमाइनिंग, रैनसमवेयर और सेल्फ-प्रॉपेर्गेशन क्षमताएं हैं।
- यह रैनसमवेयर और बॉटनेट क्षमताओं के लिए लिनक्स-आधारित सिस्टम को लक्षित करता है।
- यह Microsoft Windows- आधारित सिस्टम को इसके संयोग और स्व-प्रसार क्षमताओं के लिए लक्षित करता है।
- रैंसमवेयर घटक लक्ष्य और लिनक्स-आधारित डेटाबेस को हटा देता है।
- आज तक, हमने इन जेबों में 48 आने वाले लेन-देन का अवलोकन किया है, जिनकी कुल आय लगभग 0.964 बिटकॉइन है, जिसका अर्थ है कि 48 पीड़ितों ने कुल मिलाकर $ 6,000 का भुगतान किया है (इस लेखन के समय)।
- हालांकि, इस बात का कोई सबूत नहीं है कि भुगतान किए गए फिरौती के परिणामस्वरूप पीड़ितों के लिए वसूली हुई है।
- वास्तव में, हम किसी भी कार्यक्षमता का कोई सबूत नहीं पा सकते हैं जो फिरौती के भुगतान के माध्यम से वसूली को संभव बनाता है।
- हमारे विश्लेषण से पता चलता है कि यह संभवत: आयरन ग्रुप का काम है, एक समूह जो सार्वजनिक रूप से रिमोट कंट्रोल सिस्टम (आरसीएस) का उपयोग करने वाले अन्य रैंसमवेयर अभियानों से जुड़ा हुआ है, जिनके स्रोत कोड को 'से चोरी होने वाला माना गया था' HackingTeam 2015 में।
Xbash के खिलाफ संरक्षण
संगठन एक्सबश द्वारा संभावित हमलों से खुद को बचाने के लिए यूनिट 42 शोधकर्ताओं द्वारा दी गई कुछ तकनीकों और युक्तियों का उपयोग कर सकते हैं:
- मजबूत, गैर-डिफ़ॉल्ट पासवर्ड का उपयोग करना
- सुरक्षा अद्यतन पर अद्यतित रहना
- Microsoft Windows और Linux सिस्टम पर एंडपॉइंट सुरक्षा लागू करना
- इंटरनेट पर अज्ञात मेजबानों तक पहुंच को रोकना (कमांड और नियंत्रण सर्वर तक पहुंच को रोकने के लिए)
- कठोर और प्रभावी बैकअप और बहाली प्रक्रियाओं और प्रक्रियाओं को लागू करना और बनाए रखना।
