I ricercatori di Palo Alto Networks hanno scoperto una nuova famiglia di malware che sta colpendo i server Linux e Microsoft Windows. Questo malware, nominato Xbash, può essere ricondotto all’Iron Group, un gruppo di cybercriminali già noto per precedenti attacchi ransomware.
Xbash è dotato di capacità ransomware e di mining di criptovalute. È in grado anche di autopropagarsi (caratteristica dei worm, simile a WannaCry o Petya/notPetya) e possiede funzionalità che, una volta installate, gli consentono di diffondersi molto velocemente all’interno di una rete aziendale (ancora una volta, simile a WannaCry o Petya/notPetya).
Xbash sfrutta password deboli e vulnerabilità non ancora risolte. Distrugge i dati, annientando database basati su Linux agendo da ransomware. Non vi è alcuna funzionalità al suo interno che preveda il ripristino dei dati dopo il pagamento del riscatto. Come NotPetya, Xbash è un malware distruttivo che si pone come un ransomware.
Come proteggersi da Xbash:
- Utilizzare password forti non predefinite
- Eseguire gli aggiornamenti di sicurezza in modo costante
- Proteggere gli endpoint su sistemi Microsoft Windows e Linux
- Bloccare l’accesso Internet a host sconosciuti (per evitare che accedano ai server di comando e controllo)
- Implementare e mantenere processi e procedure di backup e ripristino rigorosi.
