Este novo malware tem como alvos os servidores de Linux e Microsoft Windows.

Foi desenvolvido em Python, mas depois os autores converteram-no em executáveis Linux através da ferramenta PyInstaller.

Foram os investigadores da Palo Alto Networks que descobriram as diversas "linguagens" por detrás deste malware, tendo caraterísticas bastante semelhantes às do WannaCry ou mesmo Petya/NotPetya.

Diz-que o código malicioso foi atribuído a um grupo popular do crime conhecido por Iron Group. Tem estado ativo pelo menos desde 2016, e é conhecido pelo ransomware Iron, mas que ao longo do tempo foi-se desenvolvendo a partir de outro tipo de código, incluindo backdoors, mineradores, de forma a explorar tanto os sistemas desktop como mobile.

Milhares de vítimas foram infetadas por este malware. O que se tem observado é que as funcionalidades de ransomware são observadas em sistemas Linux, enquanto o comportamento de mineração de moedas foi visto nos servidores Windows. O que este malware também faz é o scan de outros dispositivos na rede, de forma a encontrar falhas devidas a dispositivos que não realizaram atualizações ou que não aplicaram nenhum patch de correção, ou mesmo dispositivos que estejam com as credenciais por defeito (para isto, o malware usa ataques de força-bruta).

Caso o malware encontre um sistema com Hadoop, Redis ou ActiveMQ, também tenta explorar o serviço para auto-propagação. E nestes três serviços, o que tenta encontrar essencialmente:

- Hadoop YARN ResourceManager: execução de código remota, vulnerabilidade que foi descoberta em outubro de 2016, e que não tem identificador de vulnerabilidade

- Redis: upload de ficheiro ou execução de código remota, que foi descoberta em outubro de 2015, e que não tem CVE ou identificador de vulnerabilidade.

- ActiveMQ: vulnerabilidade de escrita arbitrária de ficheiro, com o CVE-2016-3088.

Quanto aos sistemas Windows, apenas consegue infetá-los caso consiga comprometer um servidor Redis vulnerável.

O componente de scan analisa também a Internet à procura de servidores que tenham sido deixados expostos online sem password ou que estão a usar credenciais fracas. Os alvos principais são servidores web (HTTP), VNC, MariaDB, MySQL, PostgreSQL, Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP, UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh, e Rsync. Os hackers tentam monetizar os seus esforços através de atividades de mineração nos sistemas Windows ou ataques com base em ransomware nos servidores Linux que estejam a correr serviços de base de dados.

O componente XBash irá analisar e apagar bases de dados MySQL, MongoDB, e PostgreSQL, além de droppar um resgate a pedir o pagamento de 0.02 em Bitcoin ($125) para quem quiser recuperá-las.

Infelizmente, contudo, as vítimas nunca irão recuperar os dados, porque o malware apaga-os, não criando qualquer tipo de backup.

O malware também possui, em todas as suas versões, uma classe em Python designada por "LanScan", sendo usada essencialmente para analisar redes empresariais. Permite obter informações da intranet local, gerar uma lista com todos os IP's dentro da mesma subnet, e ainda realizar um port scan a todos esses IP's.