La pubblicazione afferma che si tratta di una nuova famiglia di malware legata al gruppo di hacker Iron Group, ampiamente noto per i suoi attacchi ransomware in passato. Tuttavia, Xbash ha dimostrato un vettore di attacco molto più complesso, che combina lo sfruttamento di varie vulnerabilità e password deboli.
I ricercatori sostengono che, a differenza di altri tipi di ransomware, Xbash incorpora una funzione di rimozione dei dati abilitata di default senza alcuna opzione per ripristinare i file, che impedisce il recupero dei dati compromessi.
D’altra parte, era noto che i componenti ransomware e botnet di questo malware sono destinati a server Linux con funzioni e servizi non protetti, dove eliminano i database e chiedono salvataggi in Bitcoin (BTC). Nel caso dei moduli criptomining, questi puntano a sistemi Windows con vulnerabilità rivelate in precedenza senza una patch di sicurezza, come Redis o ActiveMQ.
Lo scopo di questo malware in relazione alle sue capacità di espansione automatica consente di confrontarlo con NotPetya e WannaCry, che includevano funzionalità di propagazione immediata che interessavano le reti domestiche e aziendali. Inoltre, Xbash include funzionalità che impediscono il rilevamento da parte di qualsiasi software antivirus, incluso il suo comportamento malevolo.
Al momento, sappiamo che il malware è attivo, poiché Unità 42 ha trovato transazioni nell’ordine di 6.000 dollari come parte dei riscatti ottenuti. Per mitigare questa minaccia, i ricercatori raccomandano di cambiare le loro password e utilizzare combinazioni sicure, oltre ad installare gli ultimi aggiornamenti di sicurezza per il loro sistema operativo e i loro programmi sul PC.