DarkRadiation est un nouveau ransomware qui cible les conteneurs cloud Linux et Docker. Codé en Bash, le ransomware cible spécifiquement les distributions Red Hat/CentOS et Debian Linux, selon les recherches de Trend Micro.
en relation: Un logiciel malveillant RotaJakiro, non détecté auparavant, cible les systèmes Linux X64
Pour son processus de cryptage, Le ransomware DarkRadiation utilise l'algorithme AES d'OpenSSL et le mode CBC. Le malware utilise également l'API de Telegram pour envoyer un statut d'infection à ses opérateurs, dit Trend Micro. Cependant, les chercheurs n'ont toujours pas compris comment le ransomware a été utilisé dans des attaques réelles. Quant aux résultats que les chercheurs ont partagés dans leur analyse, ils proviennent d'un ensemble d'outils de piratage hébergés sur une infrastructure de piratage non identifiée avec une adresse IP spécifique. Le répertoire lui-même s'appelle "api_attack".
DarkRadiation Ransomware: Ce qui est connu So Far?
En termes d'infection, le ransomware est programmé pour effectuer une attaque en plusieurs étapes, tout en s'appuyant sur plusieurs scripts Bash pour récupérer la charge utile et chiffrer les données sur un système infecté. Il utilise également l'API de Telegram pour communiquer avec le serveur de commande et de contrôle à l'aide de clés API codées en dur..
Avant le processus de cryptage, le ransomware récupère une liste de tous les utilisateurs disponibles sur un système infecté en interrogeant le “/etc/ombre” fichier. Il remplace tous les mots de passe utilisateur existants par « megapassword » et supprime tous les utilisateurs existants à l'exception de « ferrum ». Après ça, le malware crée un nouvel utilisateur à partir de sa section de configuration avec le nom d'utilisateur « ferrum » et le mot de passe « MegPw0rD3 ». Il exécute “mod utilisateur –shell /bin/nologin” commande pour désactiver tous les utilisateurs shell existants sur un système infecté, les notes de rapport.
Il est à noter que certaines des variantes de ransomware trouvées par Trend Micro tentent de supprimer tous les utilisateurs existants, à l'exception du nom d'utilisateur « ferrum » et « root ». Le malware vérifie également si 0.txt existe dans le serveur de commande et de contrôle. Au cas où ça n'existe pas, il n'exécutera pas le processus de cryptage et se mettra en veille pendant 60 secondes; puis il tente à nouveau le processus.
DarkRadiation utilise l'algorithme AES d'OpenSSL en mode CBC pour son cryptage, et il reçoit son mot de passe de cryptage via un argument de ligne de commande passé par un script de ver. Le ransomware arrête et désactive également tous les conteneurs Docker en cours d'exécution sur l'hôte infecté, et crée une demande de rançon.
Celui qui est derrière ce nouveau ransomware utilise « une variété d'outils de piratage pour se déplacer latéralement sur les réseaux des victimes pour déployer un ransomware,"Tendance Micro dit en conclusion. Les outils de piratage contiennent divers scripts de reconnaissance et d'épandage, exploits spécifiques pour Red Hat et CentOS, et injecteurs binaires, parmi d'autres. Il est à noter que la plupart de ces outils sont à peine détectés dans Virus Total. En outre, certains des scripts sont encore en développement.
Facefish est un autre malware Linux récemment découvert
En mai 2021, les chercheurs en sécurité ont détecté un nouveau malware Linux capable de voler des informations du système, tels que les informations d'identification de l'utilisateur et les détails de l'appareil, et l'exécution de commandes arbitraires. Le malware a été découvert par Qihoo 360 Les chercheurs en sécurité de NETLAB qui ont nommé son compte-gouttes Poisson de face. Le malware a été caractérisé comme une porte dérobée pour la plate-forme Linux.