DarkRadiation ist eine neue Ransomware, die auf Linux- und Docker-Cloud-Container abzielt. Codiert in Bash, die Ransomware zielt speziell auf Red Hat/CentOS- und Debian Linux-Distributionen, laut einer Studie von Trend Micro.
verbunden: Bisher unentdeckte RotaJakiro-Malware zielt auf Linux X64-Systeme ab
Für seinen Verschlüsselungsprozess, DarkRadiation-Ransomware verwendet den AES-Algorithmus und den CBC-Modus von OpenSSL. Die Malware verwendet auch die API von Telegram, um ihren Betreibern einen Infektionsstatus zu senden, Trend Micro sagt. Jedoch, Forscher haben immer noch nicht herausgefunden, wie die Ransomware bei tatsächlichen Angriffen eingesetzt wurde. Was die Ergebnisse betrifft, die die Forscher in ihrer Analyse teilten, Sie stammen aus einer Sammlung von Hacking-Tools, die auf einer nicht identifizierten Hacker-Infrastruktur mit einer bestimmten IP-Adresse gehostet werden. Das Verzeichnis selbst heißt „api_attack“.
DarkRadiation-Ransomware: Was ist bis jetzt bekannt?
In Sachen Infektion, die Ransomware ist so programmiert, dass sie einen mehrstufigen Angriff durchführt, während Sie sich auf mehrere Bash-Skripte verlassen, um die Nutzlast abzurufen und die Daten auf einem infizierten System zu verschlüsseln. Es verwendet auch die API von Telegram, um mit dem Command-and-Control-Server über hartcodierte API-Schlüssel zu kommunizieren.
Vor dem Verschlüsselungsprozess, Die Ransomware ruft eine Liste aller verfügbaren Benutzer auf einem infizierten System ab, indem sie die “/usw/schatten” Datei. Es überschreibt alle bestehenden Benutzerpasswörter mit „megapassword“ und löscht alle bestehenden Benutzer außer „ferrum“. Danach, die Malware erstellt aus ihrem Konfigurationsbereich einen neuen Benutzer mit dem Benutzernamen „ferrum“ und dem Passwort „MegPw0rD3“. Es führt aus “Benutzermod –Shell /bin/nologin” Befehl zum Deaktivieren aller vorhandenen Shell-Benutzer auf einem infizierten System, der Bericht fest.
Es ist bemerkenswert, dass einige der von Trend Micro gefundenen Ransomware-Varianten versuchen, alle vorhandenen Benutzer außer den Benutzernamen „ferrum“ und „root“ zu löschen.. Die Malware prüft auch, ob 0.txt auf dem Command-and-Control-Server vorhanden ist. Falls es nicht existiert, es führt den Verschlüsselungsprozess nicht aus und schläft für 60 Sekunden; dann versucht es den Vorgang erneut.
DarkRadiation verwendet den AES-Algorithmus von OpenSSL im CBC-Modus für seine Verschlüsselung, und er erhält sein Verschlüsselungspasswort über ein Befehlszeilenargument, das von einem Wurmskript übergeben wird. Die Ransomware stoppt und deaktiviert auch alle laufenden Docker-Container auf dem infizierten Host, und erstellt eine Lösegeldforderung.
Wer auch immer hinter dieser neuen Ransomware steckt, verwendet „eine Vielzahl von Hacking-Tools, um sich seitlich in den Netzwerken der Opfer zu bewegen, um Ransomware bereitzustellen“.," Trend Micro sagt abschließend. Die Hacking-Tools enthalten verschiedene Aufklärungs- und Spreader-Skripte, spezifische Exploits für Red Hat und CentOS, und binäre Injektoren, unter anderem. Es ist bemerkenswert, dass die meisten dieser Tools in Virus Total kaum erkannt werden. Außerdem, einige der Skripte sind noch in der Entwicklung.
Facefish ist eine weitere kürzlich entdeckte Linux-Malware
Im Mai 2021, Sicherheitsforscher entdeckten eine neue Linux-Malware, die Informationen aus dem System stehlen kann, wie Benutzeranmeldeinformationen und Gerätedetails, und Ausführen beliebiger Befehle. Die Malware wurde von Qihoo entdeckt discovered 360 NETLAB-Sicherheitsforscher, die seinen Dropper benannt haben Gesichtsfisch. Die Malware wurde als Hintertür für die Linux-Plattform bezeichnet.