DarkRadiation is een nieuwe ransomware die zich richt op Linux- en Docker-cloudcontainers. Gecodeerd in Bash, de ransomware richt zich specifiek op Red Hat/CentOS en Debian Linux-distributies, volgens het onderzoek van Trend Micro.
Verwant: Eerder niet-gedetecteerde RotaJakiro-malware richt zich op Linux X64-systemen
Voor zijn coderingsproces, DarkRadiation ransomware gebruikt OpenSSL's AES-algoritme en CBC-modus. De malware gebruikt ook de API van Telegram om een infectiestatus naar de operators te sturen, Trend Micro zegt. Echter, onderzoekers zijn er nog steeds niet achter hoe de ransomware is gebruikt bij daadwerkelijke aanvallen. Wat betreft de bevindingen die de onderzoekers deelden in hun analyse, ze komen uit een verzameling hacktools die worden gehost op een niet-geïdentificeerde hackerinfrastructuur met een specifiek IP-adres. De map zelf heet "api_attack".
DarkRadiation-ransomware: Wat is er bekend So Far?
In termen van infectie, de ransomware is geprogrammeerd om een aanval in meerdere fasen uit te voeren, terwijl u vertrouwt op meerdere Bash-scripts om de payload op te halen en de gegevens op een geïnfecteerd systeem te versleutelen. Het gebruikt ook de API van Telegram om te communiceren met de command-and-control-server met behulp van hardgecodeerde API-sleutels.
Voordat de encryptie-proces, de ransomware haalt een lijst op van alle beschikbare gebruikers op een geïnfecteerd systeem door de “/enz/schaduw” bestand. Het overschrijft alle bestaande gebruikerswachtwoorden met "megapassword" en verwijdert alle bestaande gebruikers behalve "ferrum". Daarna, de malware maakt een nieuwe gebruiker vanuit het configuratiegedeelte met gebruikersnaam "ferrum" en wachtwoord "MegPw0rD3". Het voert uit “gebruikersmod –shell /bin/nologin” commando om alle bestaande shell-gebruikers op een geïnfecteerd systeem uit te schakelen, stelt het rapport.
Het is opmerkelijk dat sommige van de ransomware-varianten die Trend Micro heeft gevonden, proberen alle bestaande gebruikers te verwijderen, behalve gebruikersnaam "ferrum" en "root". De malware controleert ook of 0.txt bestaat in de command-and-control-server. Voor het geval het niet bestaat, het zal het coderingsproces niet uitvoeren en zal slapen voor 60 seconden; dan probeert het het proces opnieuw.
DarkRadiation gebruikt het AES-algoritme van OpenSSL in CBC-modus voor zijn codering, en het ontvangt zijn coderingswachtwoord via een opdrachtregelargument doorgegeven door een wormscript. De ransomware stopt ook en schakelt alle actieve Docker-containers op de geïnfecteerde host uit, en maakt een losgeldbrief aan.
Degene die achter deze nieuwe ransomware zit, gebruikt "een verscheidenheid aan hacktools om lateraal op de netwerken van slachtoffers te bewegen om ransomware te implementeren".,"Trend Micro" zegt ten slotte. De hacktools bevatten verschillende verkennings- en spreaderscripts, specifieke exploits voor Red Hat en CentOS, en binaire injectoren, onder andere. Het is opmerkelijk dat de meeste van deze tools nauwelijks worden gedetecteerd in Virus Total. Bovendien, sommige scripts zijn nog in ontwikkeling.
Facefish is een andere recent ontdekte Linux-malware
In mei 2021, beveiligingsonderzoekers hebben een nieuwe Linux-malware ontdekt die informatie van het systeem kan stelen, zoals gebruikersgegevens en apparaatgegevens, en willekeurige commando's uitvoeren. De malware is ontdekt door Qihoo 360 NETLAB-beveiligingsonderzoekers die de dropper hebben genoemd Gezichtsvis. De malware werd gekarakteriseerd als een achterdeur voor het Linux-platform.