DarkRadiation é um novo ransomware voltado para contêineres de nuvem do Linux e Docker. Codificado em Bash, o ransomware visa especificamente distribuições Red Hat / CentOS e Debian Linux, de acordo com a pesquisa da Trend Micro.
relacionado: RotaJakiro Malware Targets Não Detectado Anteriormente Sistemas Linux X64
Por seu processo de criptografia, O ransomware DarkRadiation usa o algoritmo AES do OpenSSL e o modo CBC. O malware também usa a API do Telegram para enviar um status de infecção para seus operadores, Trend Micro diz. Contudo, os pesquisadores ainda não descobriram como o ransomware foi usado em ataques reais. Quanto às descobertas que os pesquisadores compartilharam em suas análises, eles vêm de uma coleção de ferramentas de hacking hospedadas em uma infraestrutura de hacker não identificada com um endereço IP específico. O próprio diretório é chamado de “api_attack”.
DarkRadiation Ransomware: O que se sabe até agora?
Em termos de infecção, o ransomware é programado para realizar um ataque em vários estágios, enquanto confia em vários scripts Bash para recuperar a carga útil e criptografar os dados em um sistema infectado. Ele também usa a API do Telegram para se comunicar com o servidor de comando e controle usando chaves de API codificadas..
Antes do processo de criptografia, o ransomware recupera uma lista de todos os usuários disponíveis em um sistema infectado, consultando o “/etc / sombra” Arquivo. Ele substitui todas as senhas de usuário existentes com "megapassword" e exclui todos os usuários existentes, exceto "ferrum". Depois disso, o malware cria um novo usuário em sua seção de configuração com o nome de usuário “ferrum” e a senha “MegPw0rD3”. Executa “usermod –shell / bin / nologin” comando para desabilitar todos os usuários de shell existentes em um sistema infectado, observa o relatório.
É digno de nota que algumas das variantes de ransomware encontradas pela Trend Micro tentam excluir todos os usuários existentes, exceto o nome de usuário “ferrum” e “root”. O malware também verifica se o 0.txt existe no servidor de comando e controle. Caso não exista, ele não executará o processo de criptografia e ficará suspenso por 60 segundos; então ele tenta o processo novamente.
DarkRadiation usa o algoritmo AES do OpenSSL no modo CBC para sua criptografia, e recebe sua senha criptografada por meio de um argumento de linha de comando passado por um script worm. O ransomware também para e desativa todos os contêineres Docker em execução no host infectado, e cria uma nota de resgate.
Quem quer que esteja por trás deste novo ransomware usa “uma variedade de ferramentas de hacking para mover lateralmente nas redes das vítimas para implantar ransomware,”Trend Micro diz para concluir. As ferramentas de hacking contêm vários scripts de reconhecimento e propagação, exploits específicos para Red Hat e CentOS, e injetores binários, entre outros. Vale ressaltar que a maioria dessas ferramentas quase não são detectadas no Virus Total. além do que, além do mais, alguns dos scripts ainda estão em desenvolvimento.
Facefish é outro malware Linux recentemente descoberto
Em maio 2021, pesquisadores de segurança detectaram um novo malware Linux capaz de roubar informações do sistema, como credenciais do usuário e detalhes do dispositivo, e execução de comandos arbitrários. O malware foi descoberto por Qihoo 360 Pesquisadores de segurança da NETLAB que nomearam seu conta-gotas Facefish. O malware foi caracterizado como um backdoor para a plataforma Linux.