Theo các nhà nghiên cứu bảo mật đến từ Palo Alto Networks thì phần mềm độc hại mới này (tạm đặt tên là XBash) được cho là có liên quan đến nhóm hacker Iron Group hay còn gọi là Rocke - một nhóm trước đây cũng từng có nhiều cuộc tấn công mạng liên quan đến ransomware và đào tiền ảo.
Được viết bằng ngôn ngữ lập trình Python, XBash sẽ tấn công các trang web thông qua các lỗi bảo mật mà nó phát hiện. Nó được thiết kế để quét tất cả các dịch vụ (service) dựa trên một IP đích (ví dụ là IP máy chủ trang web) như HTTP, VNC, MySQL, Telnet, FTP, MongoDB, RDP ElasticSearch, Oracle, CouchDB, Rlogin và PostgreSQL. việc tấn công được thực hiện trên cả hai cổng là TCP và UDP. Sau khi quét và phát hiện một cổng (port) của một dịch vụ đang cho phép truy xuất, XBash sẽ thực hiện bước tiếp theo là quét các tên người dùng và mật khẩu (dựa trên từ điển mật khẩu thông dụng). Trong trường hợp XBash xâm nhập được, nó sẽ tiến hành xoá tất cả cơ sở dữ liệu trong máy chủ (trường hợp là máy chủ Linux) kèm theo đó là thông báo đòi tiền chuộc.
Vấn đề đáng lo ngại là bản thân XBash hoàn toàn không có các thành phần khôi phục dữ liệu. Có nghĩa là việc trả tiền chuộc cũng không giúp khôi phục lại các cơ sở dữ liệu này. Theo ghi nhận cho đến nay XBash đã lây nhiễm đến ít nhất 48 máy chủ và người trả tiền chuộc cao nhất lên đến 6000USD.
Theo vietnamnet.vn