Зловред Xwo рыщет по Интернету в поисках уязвимых корпоративных баз, систем обработки данных и FTP-серверов.
Исследователи из AT&T Alien Labs обнаружили онлайн-сканер, определяющий цели для вымогателя Mongo Lock. Под угрозой корпоративные хранилища, веб-серверы и прочие системы работы с данными.
Зловред Mongo Lock атакует корпоративные базы, администраторы которых не установили должный уровень защиты. Обнаружив такое хранилище, он копирует с него данные и удаляет информацию, требуя от пострадавшей организации выкуп. В 2018 году эксперты сообщали, что в зависимости от кампании сумма составляла 0,1–0,6 BTC.
Новый сканер получил название Xwo по имени основного исполняемого файла. Он атакует базы данных под управлением MySQL, PostgreSQL, MongoDB, FTP-сервисы, а также системы хранения Redis и Memcached. Зловред также проверяет наличие специальных утилит, отвечающих за синхронизацию с внешними источниками, чтобы по возможности дотянуться и до них. Отдельный модуль отвечает за работу с контейнером веб-приложений Apache Tomcat.
На всех этих узлах Xwo пытается авторизоваться с помощью заводских учетных данных или через пробелы в настройках. Результаты, положительные и негативные, он передает на удаленные серверы. Примечательно, что преступники использовали домены, созвучные наименованиям ИБ-компаний и СМИ, связанных с IT. Именно по их IP-адресам исследователи установили связь Xwo и Mongo Lock — вымогатель обменивался данными с теми же узлами.
В настоящий момент усилиями ИБ-специалистов вся эта инфраструктура уже отключена. Антивирусные системы также блокируют активность Xwo, хотя технически его действия не попадают в зону их ответственности — он только собирает информацию, не причиняя прямого ущерба.
По словам исследователей, код сканера построен на базе зловреда Xbash, который стоит на службе группировки Iron. Он объединяет в себе функции вымогателя и криптоджекера, взламывая незащищенные Windows- и Linux-серверы. Жертвам Xbash оказывается бессмысленно платить выкуп, поскольку он удаляет данные безвозвратно.
Эксперты затрудняются однозначно ответить, кто стоит за атаками Xwo. Это может быть как та же Iron, так и другая группа злоумышленников, которая использует публично доступный код. В настоящий момент специалисты призывают системных администраторов проверить настройки хранилищ и приготовиться к ужесточению атак — по их мнению, вредоносный потенциал нового сканера еще не раскрылся в полную меру.