Los investigadores advirtieron sobre el nuevo ransomware DarkRadiation

Helga Smithjunio 23, 2021Última actualización: julio 12, 2021
24 2 minutos de lectura

Expertos en ciberseguridad de Trend Micro prevenido de un nuevo ransomware llamado DarkRadiation. El malware está diseñado para atacar las distribuciones Red Hat / CentOS y Debian Linux.. Para comunicarse con el C&Servidor C, los atacantes usan el mensajero de Telegram.

El malware usa AES (Estándar de cifrado avanzado) algoritmo de cifrado de bloque simétrico con modo CBC para cifrar archivos en varios directorios. En el presente, no hay información sobre los métodos utilizados para propagar el malware, y no hay evidencia de que se haya utilizado ransomware en ataques reales.

La información se obtuvo como resultado del análisis de un conjunto de herramientas de piratería alojadas en la infraestructura de un atacante no identificado en el directorio api_attack. La carpeta api_attack contenía varias versiones de DarkRadiation y el gusano SSH (downloader.sh) responsable de la propagación del malware.

El ransomware está en desarrollo activo, para fines de ofuscación, utiliza la herramienta de código abierto node-bash-ofuscate, que le permite dividir el código en varios fragmentos, luego asigne un nombre de variable a cada segmento y reemplace el script original con referencias a variables.

La mayoría de las herramientas tienen números de detección muy bajos en Virus Total. Parece que algunos de los scripts aún están en fase de desarrollo..dicen los investigadores.

DarkRadiation comprueba si se inició como root y utiliza permisos elevados para descargar e instalar el Wget., Bibliotecas cURL y OpenSSL. El software también recopila periódicamente información sobre los usuarios conectados al sistema Unix utilizando el “OMS” comando cada cinco segundos. Luego, los datos se transfieren a un servidor controlado por el atacante utilizando la API de Telegram..

En la última etapa del ataque, el malware crea una lista de todos los usuarios disponibles en el sistema comprometido, sobrescribe las contraseñas existentes con megapassword y elimina todos los usuarios de shell, antes de crear un nuevo usuario ferrum y contraseña MegPw0rD3 para continuar con el proceso de cifrado.

El ransomware puede eliminar a todos los usuarios de un sistema infectado. (aunque en algunas variantes mantiene al usuario root) y puede crear una cuenta solo para el atacante. En cuanto al cifrado de archivos, el ransomware utiliza el algoritmo AES de OpenSSL para cifrar el archivo con extensiones específicas o todos los archivos en el directorio dado.escribir a los investigadores de Trend Micro.

DarkRadiation también desactiva todos los contenedores Docker en ejecución en el sistema infectado y genera una nota de rescate.. Según los expertos, el ransomware agrega caracteres radiactivos (.☢) como una extensión del archivo cifrado.

DarkRadiation contiene la función install_tools para descargar e instalar las utilidades necesarias en el sistema infectado si aún no están instaladas. El gusano descarga e instala solo los paquetes necesarios para una distribución de Linux basada en CentOS o RHEL, ya que solo usa Yellowdog Updater, Modificado (Mmm) gerente de empaquetación.

Déjame recordarte que también hablé sobre el hecho de que Un malware extraño evita que las víctimas visiten sitios piratas.

Etiquetas
Helga Smithjunio 23, 2021Última actualización: julio 12, 2021
24 2 minutos de lectura

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba