Accueil Cybersécurité Malware Xbash, un nouveau NotPetya

Malware Xbash, un nouveau NotPetya

Selon Unit42, l’unité de recherches de Palo Alto Networks, une nouvelle famille de malware se faisant passer pour un ransomware et ciblant les serveurs Windows et Linux a toutes les caractéristiques de NotPetya.

Ce malware a été baptisé Xbash, basé sur le nom du module principal du code malveillant. Dans un article, les chercheurs expliquent que Xbash combine des fonctions de cryptomineur, de ransomware, de botnet et s’auto propage, comme WannaCry ou Petya/NotPetya. « Il a également d’autres capacités non encore implémentées qui, quand elles le seront, pourraient lui permettre de se répandre très rapidement dans le système d’information d’une entreprise« , là encore comme ses néfastes prédécesseurs, indiquent les chercheurs. Il vise les mots de passe à faible niveau de sécurité et les failles non patchées.

Xbash détruit les bases de données sous Linux et, comme NotPetya, malgré son apparence de ransomware, ne restaure pas les données après paiement de la rançon… En tout cas, les chercheurs n’ont pas trouvé la trace d’une fonctionnalité rendant cette restauration possible. Les systèmes basés sous Windows sont visés par ses capacités d’auto propagation et de cryptomineur.

malware Xbash
Nouvelle base de données, table et message de rançon de Xbash

À ce jour, Unit42 a observé 48 transactions entrant sur trois différents portefeuilles bitcoins de ce malware pour un revenu total de 0,964 bitcoin ce qui signifie que 48 victimes ont payé près de 6 000 dollars (ou près de 5 209 euros) au total depuis mai 2018, date à laquelle Xbash a commencé à fonctionner.

Xbash
Transactions sur un des portefeuilles utilisés

Les chercheurs indiquent avoir découvert 4 versions du malware et précisent que « le développement est toujours actif ». Unit42 lie ce malware à Iron Group, un groupe de cybercriminels qui s’est déjà fait connaître par des campagnes de rançonnage.

 

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here