I ricercatori hanno avvertito del nuovo ransomware DarkRadiation
Esperti di sicurezza informatica di Trend Micro che Cyclops Blink ha un modulo speciale progettato per diversi modelli di di un nuovo ransomware chiamato DarkRadiation. Il malware è progettato per attaccare le distribuzioni Red Hat/CentOS e Debian Linux. Per comunicare con il C&C server, gli aggressori usano il messenger Telegram.
Il malware utilizza AES (Standard di crittografia avanzato) algoritmo di crittografia a blocchi simmetrico con modalità CBC per crittografare i file in varie directory. In questo momento, non ci sono informazioni sui metodi utilizzati per diffondere il malware, e non ci sono prove che il ransomware sia stato utilizzato in attacchi reali.
Le informazioni sono state ottenute a seguito dell'analisi di una serie di strumenti di hacking ospitati nell'infrastruttura di un utente malintenzionato non identificato nella directory api_attack. La cartella api_attack conteneva diverse versioni di DarkRadiation e del worm SSH (downloader.sh) responsabile della diffusione del malware.
Il ransomware è in fase di sviluppo attivo, ai fini dell'offuscamento utilizza lo strumento open source node-bash-obfuscate, che consente di suddividere il codice in più frammenti, quindi assegnare un nome di variabile a ciascun segmento e sostituire lo script originale con i riferimenti alle variabili.
DarkRadiation verifica se è stato avviato come root e utilizza autorizzazioni elevate per scaricare e installare Wget, Librerie cURL e OpenSSL. Il software inoltre raccoglie periodicamente informazioni sugli utenti che hanno effettuato l'accesso al sistema Unix utilizzando il file “Oms” comando ogni cinque secondi. I dati vengono quindi trasferiti a un server controllato dall'attaccante utilizzando l'API di Telegram.
Nell'ultima fase dell'attacco, il malware crea un elenco di tutti gli utenti disponibili sul sistema compromesso, sovrascrive le password esistenti con megapassword ed elimina tutti gli utenti della shell, prima di creare un nuovo utente ferrum e password MegPw0rD3 per continuare il processo di crittografia.
DarkRadiation disabilita anche tutti i contenitori Docker in esecuzione sul sistema infetto e genera una richiesta di riscatto. Secondo gli esperti, il ransomware aggiunge caratteri radioattivi (.☢) come estensione del file crittografato.
DarkRadiation contiene la funzione install_tools per scaricare e installare le utilità necessarie sul sistema infetto se non sono già installate. Il worm scarica e installa solo i pacchetti necessari per una distribuzione Linux basata su CentOS o RHEL, poiché utilizza solo Yellowdog Updater, Modificata (Gnam) gestore di pacchetti.
Vi ricordo che vi ho parlato anche del fatto che Strano malware impedisce alle vittime di visitare siti pirata.