Một loại mã độc (malware) mới cực kỳ nguy hiểm vừa được phát hiện. Mã độc này nhắm đến người dùng Windows và Linux. Nó có khả năng phá hoại tất cả mọi thứ, từ ransomware, cryptocurrency miner (đào tiền ảo), cho đến botnet.
Cụ thể, các nhà nghiên cứu bảo mật đến từ công ty bảo mật Palo Alto Networks vừa phát hiện ra một phần mềm độc hại mới có khả năng phá hoại tất cả mọi thứ, bao gồm ransomware, cryptocurrency miner (đào tiền ảo), cho đến botnet, và họ đặt tên nó là "XBash". Theo các nhà nghiên cứu, malware này được cho là có liên quan đến nhóm hacker Iron Group (hay còn gọi là Rocke) - một nhóm từng tổ chức nhiều cuộc tấn công mạng liên quan đến ransomware và đào tiền ảo trước đây, theo trang The Hacker News.
Nhóm các nhà nghiên cứu này cho biết, XBash được viết bằng ngôn ngữ lập trình Python và XBash sẽ tấn công các trang web thông qua các lỗi bảo mật mà nó phát hiện. Nó được thiết kế để quét tất cả các dịch vụ (service) dựa trên một IP đích, chẳng hạn như IP máy chủ trang web - HTTP, VNC, MySQL, Telnet, FTP, MongoDB, RDP ElasticSearch, Oracle, CouchDB, Rlogin và PostgreSQL.
XBash - một phần mềm độc hại mới vừa được phát hiện, có khả năng phá hoại tất cả mọi thứ, bao gồm ransomware, cryptocurrency miner (đào tiền ảo), cho đến botnet. |
Nhờ viết bằng Python, Xbash sau đó được đóng gói thành dạng Portable Executable (PE) thông qua công cụ PyInstaller, nhờ vậy XBash có thể tạo ra các tập tin thực thi hỗ trợ nhiều nền tảng như Windows, Linux và có thể là cả macOS. Điều này làm cho XBash trở nên nguy hiểm bội phần so với các mã độc đã bị phát hiện trước đây. Tuy nhiên, đến thời điểm này, các nhà nghiên cứu chỉ mới tìm thấy các mẫu dành cho Linux và không thấy bất kỳ phiên bản Windows hay macOS nào của XBash.
Đáng chú ý là, việc tấn công của XBash này được thực hiện trên cả hai cổng TCP và UDP của thiết bị. Sau khi quét và phát hiện một cổng (port) của một dịch vụ đang cho phép truy xuất, XBash sẽ thực hiện bước tiếp theo là quét các tên người dùng và mật khẩu dựa trên một danh sách các mật khẩu thông dụng. Khi XBash xâm nhập được, nó sẽ tiến hành xoá tất cả cơ sở dữ liệu trong máy chủ (trường hợp là máy chủ Linux) và kèm theo đó là thông báo đòi tiền chuộc.
Theo các nhà nghiên cứu, vấn đề đáng lo ngại nhất là bản thân XBash hoàn toàn không có các thành phần khôi phục dữ liệu. Điều đó có nghĩa là, việc trả tiền chuộc cũng không giúp khôi phục lại các cơ sở dữ liệu đã bị xóa/đánh cắp.
Nhóm nghiên cứu từ Palo Alto Networks cũng ghi nhận được, cho đến nay XBash đã lây nhiễm đến ít nhất 48 máy chủ và người trả tiền chuộc cao nhất cho các tin tặc đứng phía sau lên đến 6000USD.
Ngoài tính năng phá hoạt và đòi tiền chuộc, XBash còn nhắm đến các máy chủ chạy hệ điều hành Windows để tận dụng server này nhằm khai thác tiền điện tử, cũng như biến những server này thành một botnet.
Chưa dừng lại ở đó, Xbash còn có một số khả năng khác giống với ransomware NotPetya, bao gồm khả năng lây nhiễm nhanh chóng trong hệ thống mạng của các tổ chức đến các máy chủ dễ bị tấn công. Tuy nhiên, chức năng quét có vẻ như các tin tặc (làm chủ XBash) vẫn chưa triển khai.
Trước mắt, để có thể tự bảo vệ mình (nhằm chống lại XBash), các chuyên gia khuyên người dùng hãy thực hiện các phương pháp bảo mật không dây cơ bản bằng cách: Thay đổi ngay thông tin đăng nhập mặc định trên hệ thống của bạn (username và mật khẩu hệ thống).; sử dụng mật khẩu mạnh - hơn 8 ký tự; luôn cập nhật các bản vá lỗi cho hệ điều hành; sao lưu dữ liệu thường xuyên; và ngăn các kết nối bằng tường lửa (firewall).