De malware verspreidt zich via lokale netwerken en internet en breekt in op systemen door misbruik te maken van bestaande ongepatchte kwetsbaarheden en zwakke wachtwoorden (brute-force-aanval).

De ransomware en botnet-features zijn vooral gebouwd voor Linux-machines terwijl de cryptominer zich vooral richt op Windows-systemen. De disk wiper-functie werkt op beide besturingssystemen. Als de malware eenmaal is binnengedrongen op het systeem richt het zich op bestaande kwetsbaarheden in Hadoop, Redis en ActiveMQ-services.

Nep-ransomware

De ransomware-feature is overigens nep. De malware wist MySQL, PostgreSQL en MobgoDB-databases en meldt dan aan beheerders/gebruikers dat de data is gegijzeld. Xbash belooft, na het betalen van het losgeld (0,02 BTC), de data terug te geven, maar doet dat niet (de functie is niet eens aanwezig in de malware).

De onderzoekers drukken daarom iedereen op het hart vooral niet te betalen, op dit moment lijkt de wallet al zo'n 0,964 Bitcoins te bevatten. Daarnaast kan deze malware niets beginnen tegen systemen die volledig gepatcht zijn en gebruik maken van sterke wachtwoorden waardoor het vrij makkelijk is je systemen te beschermen tegen deze Xbash.