DarkRadiation è un nuovo ransomware che prende di mira i container cloud Linux e Docker. Codificato in Bash, il ransomware prende di mira in modo specifico le distribuzioni Red Hat/CentOS e Debian Linux, secondo la ricerca di Trend Micro.
Correlata: Il malware RotaJakiro precedentemente non rilevato prende di mira i sistemi Linux X64
Per il suo processo di crittografia, Il ransomware DarkRadiation utilizza l'algoritmo AES di OpenSSL e la modalità CBC. Il malware utilizza anche l'API di Telegram per inviare uno stato di infezione ai suoi operatori, Trend Micro dice. Tuttavia, i ricercatori non hanno ancora capito il modo in cui il ransomware è stato utilizzato in attacchi reali. Per quanto riguarda i risultati condivisi dai ricercatori nella loro analisi, provengono da una raccolta di strumenti di hacking ospitati su un'infrastruttura di hacker non identificata con un indirizzo IP specifico. La directory stessa si chiama "api_attack".
DarkRadiation ransomware: Quello che si sa finora?
In termini di infezione, il ransomware è programmato per eseguire un attacco in più fasi, pur facendo affidamento su più script Bash per recuperare il payload e crittografare i dati su un sistema infetto. Utilizza anche l'API di Telegram per comunicare con il server di comando e controllo utilizzando chiavi API hardcoded.
Prima che il processo di crittografia, il ransomware recupera un elenco di tutti gli utenti disponibili su un sistema infetto interrogando il “/ecc/ombra” file. Sovrascrive tutte le password utente esistenti con "megapassword" ed elimina tutti gli utenti esistenti tranne "ferrum". Dopo di che, il malware crea un nuovo utente dalla sua sezione di configurazione con username “ferrum” e password “MegPw0rD3”. si esegue “usermod –shell /bin/nologin” comando per disabilitare tutti gli utenti shell esistenti su un sistema infetto, osserva il rapporto.
È interessante notare che alcune delle varianti ransomware trovate da Trend Micro tentano di eliminare tutti gli utenti esistenti tranne il nome utente "ferrum" e "root". Il malware controlla anche se 0.txt esiste nel server di comando e controllo. Nel caso non esistesse, non eseguirà il processo di crittografia e dormirà per 60 secondi; quindi riprova il processo.
DarkRadiation utilizza l'algoritmo AES di OpenSSL in modalità CBC per la sua crittografia, e riceve la password di crittografia tramite un argomento della riga di comando passato da uno script worm. Il ransomware blocca e disabilita anche tutti i contenitori Docker in esecuzione sull'host infetto, e crea una richiesta di riscatto.
Chiunque sia dietro questo nuovo ransomware utilizza "una varietà di strumenti di hacking per spostarsi lateralmente sulle reti delle vittime per distribuire ransomware,"Trend Micro" dice Insomma. Gli strumenti di hacking contengono vari script di ricognizione e di diffusione, exploit specifici per Red Hat e CentOS, e iniettori binari, tra gli altri. È interessante notare che la maggior parte di questi strumenti viene rilevata a malapena in Virus Total. In aggiunta, alcuni degli script sono ancora in fase di sviluppo.
Facefish è un altro malware Linux scoperto di recente
A maggio 2021, i ricercatori della sicurezza hanno rilevato un nuovo malware Linux in grado di rubare informazioni dal sistema, come le credenziali dell'utente e i dettagli del dispositivo, ed eseguendo comandi arbitrari. Il malware è stato scoperto da Qihoo 360 I ricercatori della sicurezza NETLAB che hanno chiamato il suo contagocce pesce faccia. Il malware è stato caratterizzato come una backdoor per la piattaforma Linux.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: