Un virus TRÈS TRÈS Malicieux se répend

Les chercheurs de l’Unité 42, unité de recherches de Palo Alto Networks ont découvert une nouvelle famille de malware qui ciblent les serveurs Windows et Linux. Nous pouvons lier ce malware, que nous avons baptisé Xbash, à Iron Group, un groupe de cybercriminels qui s’est fait connaître par des attaques de type ransomwares.

Xbash est un ransomware et un cryptomineur. Il a également des capacités d’autopropagation (c’est-à-dire qu’il est des caractéristiques d’un vers semblable à WannaCry ou Petya/NotPetya). Il a également d’autres capacités non encore implémentées qui, quand elles le seront, pourraient lui permettre de se répandre très rapidement dans le système d’information d’une entreprise (là encore, tout comme WannaCry ou Petya/NotPetya).

Xbash se répand en visant les mots de passe faibles et les failles non-patchées. Xbash est dangereux pour les données ; il détruit les bases de données sous Linux dans le cadre de son action de ransomware. De plus nous n’avons trouvé aucune fonctionnalité au sein de Xbash qui pourrait permettre la restauration des données après paiement de la rançon. Cela signifique que, comme NotPetya, Xbash est un malware destructeur de données qui se fait passer pour un ransomware.

Les entreprises peuvent se protéger de Xbash en :
1. Changer les mots de passe par défaut et utiliser des mots de passe forts
2. Faire régulièrement les mises à jour de sécurité
3. Installer des outils de sécurités sur les terminaux d’accès sous Linux et Windows
4. Empêcher l’accès à des hôtes inconnus sur internet (pour bloquer l’accès aux serveurs C&C — Command and Control — établis par les cybercriminels)
5. Implanter et maintenir des procédures de sauvegarde et restauration strictes et efficaces

Voici quelques détails complémentaires sur les particularités de Xbash :
• Il combine des fonctions de cryptomineur, de ransomware, de botnet et d’autopropagation
• Les systèmes basés sous Linux sont visés par ses capacités de botnets et de ransomware
• Les systèmes basés sous Windows sont visés par ses capacités d’autopropagation et de cryptomineur
• La composante ransomware cible les bases de données sous Linux et les détruit.
• À ce jour, nous avons observé 48 transactions entrant sur ces wallets pour un revenu total de 0,964 bitcoin ce qui signifie que 48 victimes ont payé près de 6000 dollars (ou près de 5209 euros) au total, à l’heure où nous écrivons ces lignes
• Toutefois il n’y a aucune preuve que les rançons payées ont permis aux victimes de récupérer leurs données
• De fait, nous n’avons trouvé la trace d’aucune fonctionnalité pour rendre cette restauration possible tout au long du processus de paiement de rançon.
• Notre analyse estime que c’est surement l’œuvre du Iron Group, un groupe déjà publiquement lié à d’autres campagnes de rançonnage y compris celles incluant l’utilisation du RCS (Remote Control System) dont le code source aurait été volé à la HackingTeam en 2015.