DarkRadiation er en ny ransomware, der er målrettet mod Linux- og Docker-cloudcontainere. Kodet i Bash, ransomware målretter specifikt Red Hat / CentOS og Debian Linux distributioner, ifølge Trend Micros forskning.
Relaterede: Tidligere uopdaget RotaJakiro Malware retter sig mod Linux X64-systemer
For sin krypteringsproces, DarkRadiation ransomware bruger OpenSSLs AES algoritme og CBC-tilstand. Malwaren bruger også Telegrams API til at sende en infektionsstatus til sine operatører, Trend Micro siger. Men, forskere har stadig ikke fundet ud af, hvordan ransomware er blevet brugt i faktiske angreb. Hvad angår resultaterne delte forskerne i deres analyse, de kommer fra en samling af hackingsværktøjer, der er hostet på en uidentificeret hackerinfrastruktur med en bestemt IP-adresse. Selve biblioteket kaldes “api_attack”.
DarkRadiation Ransomware: Hvad der er kendt So Far?
Med hensyn til infektion, ransomware er programmeret til at udføre et angreb i flere trin, mens du stoler på flere Bash-scripts for at hente nyttelasten og kryptere dataene på et inficeret system. Det bruger også Telegrams API til at kommunikere med kommando-og-kontrol-serveren ved hjælp af hardkodede API-nøgler.
Før krypteringsprocessen, ransomware henter en liste over alle tilgængelige brugere på et inficeret system ved at spørge “/osv / skygge” fil. Det overskriver alle eksisterende brugeradgangskoder med "megapassword" og sletter alle eksisterende brugere undtagen "ferrum." Efter det, malware opretter en ny bruger fra sin konfigurationsafdeling med brugernavn "ferrum" og adgangskode "MegPw0rD3". Det udføres “usermod –shell / bin / nologin” kommando til at deaktivere alle eksisterende shell-brugere på et inficeret system, ifølge rapporten.
Det er bemærkelsesværdigt, at nogle af ransomware-varianterne, som Trend Micro fandt, forsøgte at slette alle eksisterende brugere undtagen brugernavnet “ferrum” og “root”.. Malwaren kontrollerer også, om 0.txt findes i kommando-og-kontrol-serveren. Hvis det ikke eksisterer, det udfører ikke krypteringsprocessen og vil sove i 60 sekunder; så forsøger den processen igen.
DarkRadiation bruger OpenSSLs AES-algoritme i CBC-tilstand til kryptering, og den modtager sin krypteringsadgangskode via et kommandolinjeargument, der sendes af et ormscript. Ransomware stopper og deaktiverer også alle kørende Docker-containere på den inficerede vært, og opretter en løsesumnote.
Den, der står bag denne nye ransomware, bruger “en række hackingsværktøjer til at flytte sideværts på ofrenes netværk for at implementere ransomware,”Trend Micro siger Afslutningsvis. Hackingværktøjerne indeholder forskellige rekognoscerings- og spreder-scripts, specifikke bedrifter til Red Hat og CentOS, og binære injektorer, blandt andre. Det er bemærkelsesværdigt, at de fleste af disse værktøjer næppe opdages i Virus Total. Desuden, nogle af scripts er stadig under udvikling.
Facefish er en anden nyligt opdaget Linux-malware
I maj 2021, sikkerhedsforskere opdagede en ny Linux-malware, der er i stand til at stjæle information fra systemet, såsom brugeroplysninger og enhedsoplysninger, og udførelse af vilkårlige kommandoer. Malwaren blev opdaget af Qihoo 360 NETLAB-sikkerhedsforskere, der navngav dens dropper Ansigtsfisk. Malware blev karakteriseret som en bagdør til Linux-platformen.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: