Des chercheurs avertis du nouveau ransomware DarkRadiation

Helga Smithjuin 23, 2021Dernière mise à jour: juillet 12, 2021

24 2 minutes de lecture

Experts en cybersécurité de Trend Micro averti d'un nouveau ransomware appelé DarkRadiation. Le malware est conçu pour attaquer les distributions Red Hat/CentOS et Debian Linux. Pour communiquer avec le C&serveur C, les attaquants utilisent le messager Telegram.

Le malware utilise AES (Standard d'encryptage avancé) algorithme de chiffrement par bloc symétrique avec mode CBC pour chiffrer les fichiers dans divers répertoires. Au moment présent, il n'y a aucune information sur les méthodes utilisées pour propager le malware, et il n'y a aucune preuve que le ransomware a été utilisé dans des attaques réelles.

L'information a été obtenue à la suite de l'analyse d'un ensemble d'outils de piratage hébergés dans l'infrastructure d'un attaquant non identifié dans le répertoire api_attack. Le dossier api_attack contenait plusieurs versions de DarkRadiation et du ver SSH (downloader.sh) responsable de la propagation du malware.

Le ransomware est en cours de développement actif, à des fins d'obscurcissement, il utilise l'outil open source node-bash-obfuscate, qui permet de diviser le code en plusieurs fragments, puis attribuez un nom de variable à chaque segment et remplacez le script d'origine par des références aux variables.

La plupart des outils ont des nombres de détection très faibles dans Virus Total. Il semble que certains des scripts soient encore en phase de développement.disent les chercheurs.

DarkRadiation vérifie s'il a été démarré en tant que root et utilise des autorisations élevées pour télécharger et installer le Wget, Bibliothèques cURL et OpenSSL. Le logiciel collecte également périodiquement des informations sur les utilisateurs connectés au système Unix à l'aide du “qui” commande toutes les cinq secondes. Les données sont ensuite transférées vers un serveur contrôlé par l'attaquant à l'aide de l'API Telegram.

Au dernier stade de l'attaque, le malware crée une liste de tous les utilisateurs disponibles sur le système compromis, écrase les mots de passe existants avec megapassword et supprime tous les utilisateurs du shell, avant de créer un nouvel utilisateur ferrum et mot de passe MegPw0rD3 pour continuer le processus de cryptage.

Le ransomware peut supprimer tous les utilisateurs sur un système infecté (bien que dans certaines variantes, il garde l'utilisateur root) et peut créer un compte uniquement pour l'attaquant. Quant au cryptage des fichiers, le ransomware utilise l'algorithme AES d'OpenSSL pour crypter soit le fichier avec des extensions spécifiques, soit tous les fichiers du répertoire donné.écrire aux chercheurs de Trend Micro.

DarkRadiation désactive également tous les conteneurs Docker en cours d'exécution sur le système infecté et génère une demande de rançon. D'après les experts, le ransomware ajoute des caractères radioactifs (.??) comme extension du fichier crypté.

DarkRadiation contient la fonction install_tools pour télécharger et installer les utilitaires nécessaires sur le système infecté s'ils ne sont pas déjà installés. Le ver télécharge et installe uniquement les packages nécessaires pour une distribution Linux basée sur CentOS ou RHEL, car il utilise uniquement le Yellowdog Updater, Modifié (MIAM) directeur chargé d'emballage.

Permettez-moi de vous rappeler que j'ai également parlé du fait que Un étrange malware empêche les victimes de visiter des sites pirates.

Mots clés

Helga Smithjuin 23, 2021Dernière mise à jour: juillet 12, 2021

24 2 minutes de lecture

Des chercheurs avertis du nouveau ransomware DarkRadiation

Experts en cybersécurité de Trend Micro averti d'un nouveau ransomware appelé DarkRadiation. Le malware est conçu pour attaquer les distributions Red Hat/CentOS et Debian Linux. Pour communiquer avec le C&serveur C, les attaquants utilisent le messager Telegram.

Helga Smith

Laisser un commentaireAnnuler la réponse

Supprimer le virus BGZQ Ransomware (+DÉCRYPTER les fichiers .bgzq)

Supprimer le virus BGJS Ransomware (+DÉCRYPTER les fichiers .bgjs)

Supprimer le virus KAAA Ransomware (+Fichiers DECRYPT .file)

Supprimer le virus Ransomware UAJS (+DÉCRYPTER les fichiers .uajs)

Supprimer le virus UAZQ Ransomware (+DÉCRYPTER les fichiers .uazq)

Supprimer le virus VOOK Ransomware (+DÉCRYPTER les fichiers .vook)

Supprimer le virus LOOY Ransomware (+DÉCRYPTER les fichiers .looy)

Supprimer le virus KOOL Ransomware (+DÉCRYPTER les fichiers .kool)

Supprimer le virus NOOD Ransomware (+DÉCRYPTER les fichiers .nood)

Supprimer le virus WIAW Ransomware (+DÉCRYPTER les fichiers .wiaw)

Supprimer le virus WISZ Ransomware (+DÉCRYPTER les fichiers .wisz)

Supprimer le virus LKFR Ransomware (+DÉCRYPTER les fichiers .lkfr)

Supprimer le virus LKHY Ransomware (+DÉCRYPTER les fichiers .lkhy)

Supprimer le virus LDHY Ransomware (+DÉCRYPTER les fichiers .ldhy)

Supprimer le virus KVIP Ransomware (+DÉCRYPTER les fichiers .kvip)

Experts en cybersécurité de Trend Micro averti d'un nouveau ransomware appelé DarkRadiation. Le malware est conçu pour attaquer les distributions Red Hat/CentOS et Debian Linux. Pour communiquer avec le C&serveur C, les attaquants utilisent le messager Telegram.

Helga Smith

Un étrange malware empêche les victimes de visiter des sites pirates

Des chercheurs ont lié les développeurs de TrickBot au ransomware Diavol

Laisser un commentaireAnnuler la réponse

Articles similaires

La nouvelle version de Magniber Ransomware menace Windows 11 Utilisateurs

Un extorqueur de bonne volonté oblige les victimes à de bonnes actions

Le botnet russe Fronton peut faire bien plus que des attaques DDoS massives

Microsoft met en garde contre l'augmentation de l'activité des logiciels malveillants XorDdos