Accueil > Nouvelles Cyber > DarkRadiation Ransomware cible les conteneurs Linux et Docker
CYBER NOUVELLES

DarkRadiation Ransomware cible les conteneurs Linux et Docker

par   |  Last Update:  |  0 Commentaires  

darkradiation-ransomware-linux-sensorstechforum
DarkRadiation est un nouveau ransomware qui cible les conteneurs cloud Linux et Docker. Codé en Bash, le ransomware cible spécifiquement les distributions Red Hat/CentOS et Debian Linux, selon les recherches de Trend Micro.

en relation: Un logiciel malveillant RotaJakiro, non détecté auparavant, cible les systèmes Linux X64

Pour son processus de cryptage, Le ransomware DarkRadiation utilise l'algorithme AES d'OpenSSL et le mode CBC. Le malware utilise également l'API de Telegram pour envoyer un statut d'infection à ses opérateurs, dit Trend Micro. Cependant, les chercheurs n'ont toujours pas compris comment le ransomware a été utilisé dans des attaques réelles. Quant aux résultats que les chercheurs ont partagés dans leur analyse, ils proviennent d'un ensemble d'outils de piratage hébergés sur une infrastructure de piratage non identifiée avec une adresse IP spécifique. Le répertoire lui-même s'appelle "api_attack".




DarkRadiation Ransomware: Ce qui est connu So Far?

En termes d'infection, le ransomware est programmé pour effectuer une attaque en plusieurs étapes, tout en s'appuyant sur plusieurs scripts Bash pour récupérer la charge utile et chiffrer les données sur un système infecté. Il utilise également l'API de Telegram pour communiquer avec le serveur de commande et de contrôle à l'aide de clés API codées en dur..

Avant le processus de cryptage, le ransomware récupère une liste de tous les utilisateurs disponibles sur un système infecté en interrogeant le “/etc/ombre” fichier. Il remplace tous les mots de passe utilisateur existants par « megapassword » et supprime tous les utilisateurs existants à l'exception de « ferrum ». Après ça, le malware crée un nouvel utilisateur à partir de sa section de configuration avec le nom d'utilisateur « ferrum » et le mot de passe « MegPw0rD3 ». Il exécute “mod utilisateur –shell /bin/nologin” commande pour désactiver tous les utilisateurs shell existants sur un système infecté, les notes de rapport.

Il est à noter que certaines des variantes de ransomware trouvées par Trend Micro tentent de supprimer tous les utilisateurs existants, à l'exception du nom d'utilisateur « ferrum » et « root ». Le malware vérifie également si 0.txt existe dans le serveur de commande et de contrôle. Au cas où ça n'existe pas, il n'exécutera pas le processus de cryptage et se mettra en veille pendant 60 secondes; puis il tente à nouveau le processus.

DarkRadiation utilise l'algorithme AES d'OpenSSL en mode CBC pour son cryptage, et il reçoit son mot de passe de cryptage via un argument de ligne de commande passé par un script de ver. Le ransomware arrête et désactive également tous les conteneurs Docker en cours d'exécution sur l'hôte infecté, et crée une demande de rançon.

Celui qui est derrière ce nouveau ransomware utilise « une variété d'outils de piratage pour se déplacer latéralement sur les réseaux des victimes pour déployer un ransomware,"Tendance Micro dit en conclusion. Les outils de piratage contiennent divers scripts de reconnaissance et d'épandage, exploits spécifiques pour Red Hat et CentOS, et injecteurs binaires, parmi d'autres. Il est à noter que la plupart de ces outils sont à peine détectés dans Virus Total. En outre, certains des scripts sont encore en développement.

Facefish est un autre malware Linux récemment découvert

En mai 2021, les chercheurs en sécurité ont détecté un nouveau malware Linux capable de voler des informations du système, tels que les informations d'identification de l'utilisateur et les détails de l'appareil, et l'exécution de commandes arbitraires. Le malware a été découvert par Qihoo 360 Les chercheurs en sécurité de NETLAB qui ont nommé son compte-gouttes Poisson de face. Le malware a été caractérisé comme une porte dérobée pour la plate-forme Linux.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Worm W32.Rarogminer Monero Miner (lsass.exe) - Comment faire pour supprimer ce Cet article a été créé dans le but de vous aider...
  2. Haut 15 Questions de sécurité Linux Vous ne saviez pas You Had Les administrateurs et utilisateurs Linux débutants doivent savoir que même si ...
  3. Les meilleurs serveur Linux Distributions en 2017 Gnu/Linux est l'un des principaux systèmes d'exploitation pour serveurs..
  4. Top Sécurité et confidentialité Les distributions Linux en 2019 Il existe de nombreuses distributions Linux spécialisées conçues avec ...
  5. Paysage des menaces Linux 2021: Malwares et vulnérabilités les plus répandus Quelles sont les menaces mettant en danger les systèmes Linux? Security researchers from...
  6. La 10 Meilleures méthodes sur la façon d'améliorer la sécurité Linux Cet article de blog est créé dans le but de vous aider...
  7. KORKERDS Miner Cibles Linux, Installe rootkit pour se cacher Mis à part le potentiel de profit, cryptomining malware is favored...
  8. Comment utiliser Linux sur un ordinateur Windows (Tutorial) Linux. Sous Windows. Cela ressemble à quelque chose tout droit sorti de ...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord