Изследователи предупредиха за нов ransomware DarkRadiation

Хелга Смитюни 23, 2021Последна актуализация: Юли 12, 2021
2 прочетени минути

Експерти по киберсигурност на Trend Micro предупреден на нов ransomware, наречен DarkRadiation. Зловреден софтуер е предназначен да атакува Red Hat/CentOS и Debian Linux дистрибуции. За да общувате с C&C сървър, нападателите използват месинджъра Telegram.

Зловреден софтуер използва AES (Разширен стандарт за криптиране) алгоритъм за симетрично блоково шифиране с CBC режим за криптиране на файлове в различни директории. В момента, няма информация за методите, използвани за разпространение на зловреден софтуер, и няма доказателства, че ransomware е бил използван в действителни атаки.

Информацията е получена в резултат на анализ на набор от хакерски инструменти, хоствани в инфраструктурата на неидентифициран нападател в директорията api_attack. Папката api_attack съдържа няколко версии на DarkRadiation и SSH червея (downloader.sh) отговорен за разпространението на зловреден софтуер.

Рансъмуерът е в процес на активно разработване, за целите на обфускацията той използва инструмента с отворен код node-bash-obfuscate, което ви позволява да разделите кода на няколко фрагмента, след това задайте име на променлива на всеки сегмент и заменете оригиналния скрипт с препратки към променливи.

Повечето от инструментите имат много ниски стойности на откриване във Virus Total. Изглежда, че някои от скриптовете все още са във фаза на разработка.казват изследователите.

DarkRadiation проверява дали е стартиран като root и използва повишени разрешения за изтегляне и инсталиране на Wget, cURL и OpenSSL библиотеки. Софтуерът също така периодично събира информация за потребители, влезли в Unix системата, използвайки “СЗО” команда на всеки пет секунди. След това данните се прехвърлят към сървър, контролиран от нападателя с помощта на API на Telegram.

В последния етап от атаката, зловреден софтуер създава списък на всички налични потребители на компрометираната система, презаписва съществуващите пароли с megapassword и изтрива всички потребители на shell, преди да създадете нов потребителски ferrum и парола MegPw0rD3, за да продължите процеса на криптиране.

Рансъмуерът може да изтрие всички потребители на заразена система (въпреки че в някои варианти запазва root потребителя) и може да създаде акаунт само за нападателя. Що се отнася до криптирането на файлове, ransomware използва AES алгоритъма на OpenSSL, за да криптира или файла със специфични разширения, или всички файлове в дадената директория.пишат изследователите на Trend Micro.

DarkRadiation също деактивира всички работещи Docker контейнери на заразената система и генерира бележка за откуп. Според специалисти, рансъмуерът добавя радиоактивни знаци (.☢) като разширение на шифрования файл.

DarkRadiation съдържа функцията install_tools за изтегляне и инсталиране на необходимите помощни програми на заразената система, ако те вече не са инсталирани. Червеят изтегля и инсталира само необходимите пакети за Linux дистрибуция, базирана на CentOS или RHEL, тъй като използва само Yellowdog Updater, Променен (YUM) мениджър на пакети.

Нека ви напомня, че говорих и за това, че Странен зловреден софтуер пречи на жертвите да посещават пиратски сайтове.

Етикети
Хелга Смитюни 23, 2021Последна актуализация: Юли 12, 2021
2 прочетени минути

Хелга Смит

Винаги съм се интересувал от компютърни науки, особено сигурността на данните и темата, което се нарича в наши дни "наука за данни", от ранните ми тийнейджърски години. Преди да дойде в екипа за премахване на вируси като главен редактор, Работил съм като експерт по киберсигурност в няколко компании, включително един от изпълнителите на Amazon. Друг опит: Преподавам в университетите Арден и Рединг.

Оставете коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са маркирани *

Този сайт използва Akismet за намаляване на спама. Научете как се обработват вашите коментарни данни.

Бутон за връщане в началото