DarkRadiation es un nuevo ransomware dirigido a contenedores en la nube de Linux y Docker. Codificado en Bash, el ransomware se dirige específicamente a las distribuciones Red Hat / CentOS y Debian Linux, según la investigación de Trend Micro.
Relacionado: Malware RotaJakiro no detectado anteriormente se dirige a sistemas Linux X64
Por su proceso de encriptación, El ransomware DarkRadiation utiliza el algoritmo AES de OpenSSL y el modo CBC. El malware también utiliza la API de Telegram para enviar un estado de infección a sus operadores., Trend Micro dice. Sin embargo, los investigadores aún no han descubierto la forma en que se ha utilizado el ransomware en ataques reales. En cuanto a los hallazgos que los investigadores compartieron en su análisis, provienen de una colección de herramientas de piratería alojadas en una infraestructura de piratas informáticos no identificada con una dirección IP específica. El directorio en sí se llama "api_attack".
DarkRadiation ransomware: Lo que se sabe hasta ahora?
En términos de infección, el ransomware está programado para llevar a cabo un ataque en varias etapas, mientras confía en múltiples scripts Bash para recuperar la carga útil y cifrar los datos en un sistema infectado. También utiliza la API de Telegram para comunicarse con el servidor de comando y control mediante claves API codificadas..
Antes de que el proceso de cifrado, el ransomware recupera una lista de todos los usuarios disponibles en un sistema infectado consultando el “/etc / sombra” expediente. Sobrescribe todas las contraseñas de usuario existentes con "megapassword" y elimina todos los usuarios existentes excepto "ferrum". Después, el malware crea un nuevo usuario desde su sección de configuración con el nombre de usuario "ferrum" y la contraseña "MegPw0rD3". Se ejecuta “usermod –shell / bin / nologin” comando para deshabilitar a todos los usuarios de shell existentes en un sistema infectado, señala el informe.
Cabe destacar que algunas de las variantes de ransomware que Trend Micro encontró intentan eliminar todos los usuarios existentes, excepto el nombre de usuario "ferrum" y "root".. El malware también comprueba si 0.txt existe en el servidor de comando y control.. En caso de que no exista, no ejecutará el proceso de cifrado y permanecerá inactivo durante 60 segundos; luego vuelve a intentar el proceso.
DarkRadiation utiliza el algoritmo AES de OpenSSL en modo CBC para su cifrado, y recibe su contraseña de cifrado a través de un argumento de línea de comandos pasado por un script de gusano. El ransomware también detiene y deshabilita todos los contenedores Docker en ejecución en el host infectado, y crea una nota de rescate.
Quien esté detrás de este nuevo ransomware utiliza "una variedad de herramientas de piratería para moverse lateralmente en las redes de las víctimas para implementar ransomware,”Trend Micro dice En conclusión. Las herramientas de piratería contienen varios scripts de reconocimiento y propagación., exploits específicos para Red Hat y CentOS, e inyectores binarios, entre otros. Cabe destacar que la mayoría de estas herramientas apenas se detectan en Virus Total. Adicionalmente, algunos de los scripts aún están en desarrollo.
Facefish es otro malware de Linux descubierto recientemente
En Mayo 2021, Los investigadores de seguridad detectaron un nuevo malware de Linux capaz de robar información del sistema., como credenciales de usuario y detalles del dispositivo, y ejecutando comandos arbitrarios. El malware fue descubierto por Qihoo 360 Investigadores de seguridad de NETLAB que nombraron su cuentagotas Pez cara. El malware se caracterizó como una puerta trasera para la plataforma Linux..