Wurm

Palo Alto Networks meldet die Entdeckung einer neuen Malware-Familie, die auf Linux- und Microsoft Windows-Server abzielt, und hat ihr den Namen XBash zugewiesen. Den IT-Sicherheitsexperten gelang es, diese Malware mit der Iron Group zu verknüpfen, eine Hackergruppe, die in der Vergangenheit bereits für mehrere Ransomware-Angriffe verantwortlich war.

Xbash verfügt über Ransomware- und Coin-Mining-Funktionen. Die Malware hat auch Fähigkeiten zur Selbstverbreitung, also wurmartige Eigenschaften, ähnlich wie bei WannaCry oder Petya/NotPetya. Zudem verfügt Xbash auch über Funktionen, die derzeit nicht implementiert sind, es aber ermöglichen könnten, sich bei der Implementierung sehr schnell innerhalb des Netzwerks eines Unternehmens zu verbreiten. Dies ist ebenfalls ähnlich wie bei WannaCry oder Petya/NotPetya.

Xbash verbreitet sich, indem es schwache Passwörter und nicht gepatchte Schwachstellen angreift. Mit seinen Ransomware-Funktionen zerstört Xbash Daten und Linux-basierte Datenbanken. Die Forscher von Palo Alto Networks haben dabei keine Funktionalität in Xbash gefunden, die eine Wiederherstellung nach Zahlung des Lösegeldes ermöglichen würde. Dies bedeutet, dass Xbash, wie NotPetya, eine datenvernichtende Malware ist, die Ransomware nachahmt. Im Gegensatz zu NotPetya ist Xbash jedoch multifunktional, plattformübergreifend und kombiniert Funktionen, die normalerweise in einzelnen Teilen von Malware zu sehen sind. Diese Funktionen sind nun in einem einzigen, effektiven Paket vereint.

Xbash ist somit eine neuartige und komplexe Linux-Malware und das neueste Werk einer aktiven cyberkriminellen Gruppe. Ausgehend von den Eigenschaften und Verhaltensweisen der Malware konnten die Experten für Cybersicherheit viele Trends erkennen, die die aktuelle IoT/Linux-Sicherheit betreffen:

  • Die Angreifer erweitern ihre profitorientierten Strategien vom Abbau von Kryptowährungen auf das Entwenden von Kryptowährungen und auf Lösegeldforderungen.
  • Die Angreifer dehnen ihr Territorium aus, indem sie Domain-Namen scannen und das Intranet von Unternehmen angreifen.
  • Sie suchen nach mehr potenziellen Opfern, indem sie immer mehr Schwachstellen sammeln, egal, ob die Schwachstelle neu oder alt ist, und egal, ob sie bekannt ist oder nicht, also eine CVE-Nummer vergeben wurde oder noch nicht.
  • Die Angriffe sind plattformübergreifend und durch eine schnelle Entwicklung gekennzeichnet.
  • Verschiedene Arten von Skriptdateien dienen als Mittler zwischen der Ausnutzung von Schwachstellen und der Ausführung von Malware.

Unternehmen können sich durch folgende Maßnahmen gegen Xbash schützen:

  • Verwendung von sicheren, nicht voreingestellten Passwörtern.
  • Auf dem Laufenden bleiben bezüglich Sicherheitsupdates.
  • Implementierung von Endgerätesicherheit auf Microsoft Windows- und auf Linux-Systemen.
  • Verhinderung des Zugriffs auf unbekannte Hosts im Internet, um die Kommunikation mit Command-and-Control-Servern (C2) zu unterbinden.
  • Implementierung und Aufrechterhaltung strenger und effektiver Backup- und Wiederherstellungsprozesse.

Weitere Informationen:

Finden Sie hier die Meldung im Original mit weiteren Details: https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker

Phishing-Angriffe nehmen Spender ins Visier

Phishing bleibt die häufigste Methode für Cyberangriffe. Und gerade in Zeiten von grassierenden Epidemien oder Naturkatastrophen, in denen viele User über Spenden die Betroffenen unterstützen möchten, werden die Helfer nicht selten selbst zu Opfern. Ein…
Hacker Bluetooth

Sweyntooth: 10 neue Sicherheitslücken bei Bluetooth Chips

Beim Thema Sicherheitslücken werden die meisten Menschen zuerst an das Internet denken. Tatsächlich ist das die größte Gefahrenquelle, aber längst nicht die einzige, denn Malware oder Hacker können auch Fehler in anderen Geräteverbindungen ausnutzen.
Insider Threat

Insider-Bedrohungen sind meist das Ergebnis fahrlässigen Verhaltens

Proofpoint veröffentlichte seine weltweite Studie zum Thema Insider-Bedrohungen 2020. So zeigt der Bericht, dass Unternehmen im Durchschnitt jährlich 11,45 Millionen Dollar für die Beseitigung von Insider-Bedrohungen ausgaben und mehr als zwei Monate (77…
Bank

Hacking und Malware als Hauptursachen der Datenschutzverletzungen im Finanzwesen

Cloud-Security-Anbieter Bitglass hat seinen aktuellen Bericht zu Datenschutzverletzungen im Finanzwesen 2019 veröffentlicht. Jedes Jahr analysiert Bitglass die neuesten Trends, größten Verstöße und gravierendsten Bedrohungen bei…
Smart Home Security

Tipps für mehr Sicherheit im Smart Home

Rund neun Millionen Haushalte in Deutschland sind nach Schätzungen des Statista Digital Market Outlooks bereits „smart“, das heißt vernetzt, zentral steuer- und programmierbar. Bis zum Jahr 2023 soll die Zahl der Smart Homes auf 13,5 Millionen steigen.
Malware

Top Malware für Januar 2020: Corona-Virus als Spam

Check Point Research (NASDAQ: CHKP), hat seinen Global Threat Index für Januar 2020 veröffentlicht. Die Experten berichten, dass Emotet bereits im vierten Monat in Folge die führende Malware ist und sich derzeit mit der Hilfe einer Spam-Kampagne zum…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!