Des chercheurs avertis du nouveau ransomware DarkRadiation

Experts en cybersécurité de Trend Micro averti d'un nouveau ransomware appelé DarkRadiation. Le malware est conçu pour attaquer les distributions Red Hat/CentOS et Debian Linux. Pour communiquer avec le C&serveur C, les attaquants utilisent le messager Telegram.

Le malware utilise AES (Standard d'encryptage avancé) algorithme de chiffrement par bloc symétrique avec mode CBC pour chiffrer les fichiers dans divers répertoires. Au moment présent, il n'y a aucune information sur les méthodes utilisées pour propager le malware, et il n'y a aucune preuve que le ransomware a été utilisé dans des attaques réelles.

L'information a été obtenue à la suite de l'analyse d'un ensemble d'outils de piratage hébergés dans l'infrastructure d'un attaquant non identifié dans le répertoire api_attack. Le dossier api_attack contenait plusieurs versions de DarkRadiation et du ver SSH (downloader.sh) responsable de la propagation du malware.

Le ransomware est en cours de développement actif, à des fins d'obscurcissement, il utilise l'outil open source node-bash-obfuscate, qui permet de diviser le code en plusieurs fragments, puis attribuez un nom de variable à chaque segment et remplacez le script d'origine par des références aux variables.

La plupart des outils ont des nombres de détection très faibles dans Virus Total. Il semble que certains des scripts soient encore en phase de développement.disent les chercheurs.

DarkRadiation vérifie s'il a été démarré en tant que root et utilise des autorisations élevées pour télécharger et installer le Wget, Bibliothèques cURL et OpenSSL. Le logiciel collecte également périodiquement des informations sur les utilisateurs connectés au système Unix à l'aide du “qui” commande toutes les cinq secondes. Les données sont ensuite transférées vers un serveur contrôlé par l'attaquant à l'aide de l'API Telegram.

Au dernier stade de l'attaque, le malware crée une liste de tous les utilisateurs disponibles sur le système compromis, écrase les mots de passe existants avec megapassword et supprime tous les utilisateurs du shell, avant de créer un nouvel utilisateur ferrum et mot de passe MegPw0rD3 pour continuer le processus de cryptage.

Le ransomware peut supprimer tous les utilisateurs sur un système infecté (bien que dans certaines variantes, il garde l'utilisateur root) et peut créer un compte uniquement pour l'attaquant. Quant au cryptage des fichiers, le ransomware utilise l'algorithme AES d'OpenSSL pour crypter soit le fichier avec des extensions spécifiques, soit tous les fichiers du répertoire donné.écrire aux chercheurs de Trend Micro.

DarkRadiation désactive également tous les conteneurs Docker en cours d'exécution sur le système infecté et génère une demande de rançon. D'après les experts, le ransomware ajoute des caractères radioactifs (.??) comme extension du fichier crypté.

DarkRadiation contient la fonction install_tools pour télécharger et installer les utilitaires nécessaires sur le système infecté s'ils ne sont pas déjà installés. Le ver télécharge et installe uniquement les packages nécessaires pour une distribution Linux basée sur CentOS ou RHEL, car il utilise uniquement le Yellowdog Updater, Modifié (MIAM) directeur chargé d'emballage.

Permettez-moi de vous rappeler que j'ai également parlé du fait que Un étrange malware empêche les victimes de visiter des sites pirates.

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page