研究者は新しいDarkRadiationランサムウェアについて警告しました

トレンドマイクロのサイバーセキュリティの専門家 警告 DarkRadiationと呼ばれる新しいランサムウェアの. このマルウェアは、Red Hat / CentOSおよびDebianLinuxディストリビューションを攻撃するように設計されています. Cと通信するには&Cサーバー, 攻撃者はTelegramメッセンジャーを使用します.

マルウェアはAESを使用します (Advanced Encryption Standard) さまざまなディレクトリ内のファイルを暗号化するためのCBCモードの対称ブロック暗号アルゴリズム. 現時点で, マルウェアの拡散に使用された方法に関する情報はありません, ランサムウェアが実際の攻撃に使用されたという証拠はありません.

この情報は、api_attackディレクトリ内の身元不明の攻撃者のインフラストラクチャでホストされている一連のハッキングツールの分析の結果として取得されました。. api_attackフォルダーには、DarkRadiationとSSHワームのいくつかのバージョンが含まれていました (downloader.sh) マルウェアの拡散を担当.

ランサムウェアは活発に開発されています, 難読化の目的で、オープンソースツールnode-bash-obfuscateを使用します, これにより、コードをいくつかのフラグメントに分割できます, 次に、各セグメントに変数名を割り当て、元のスクリプトを変数への参照に置き換えます.

DarkRadiationは、rootとして開始されたかどうかを確認し、昇格された権限を使用してWgetをダウンロードしてインストールします, cURLおよびOpenSSLライブラリ. このソフトウェアは、Unixシステムにログインしているユーザーに関する情報を定期的に収集します。 “WHO” 5秒ごとにコマンド. 次に、Telegram APIを使用して、攻撃者が制御するサーバーにデータが転送されます。.

攻撃の最終段階で, マルウェアは、侵害されたシステムで利用可能なすべてのユーザーのリストを作成します, 既存のパスワードをmegapasswordで上書きし、すべてのシェルユーザーを削除します, 新しいユーザーferrumとパスワードMegPw0rD3を作成する前に、暗号化プロセスを続行します.

DarkRadiationは、感染したシステムで実行中のすべてのDockerコンテナーも無効にし、身代金メモを生成します. 専門家によると, ランサムウェアは放射性文字を追加します (.☢) 暗号化されたファイルの拡張子として.

DarkRadiationには、感染したシステムに必要なユーティリティがまだインストールされていない場合にダウンロードしてインストールするためのinstall_tools関数が含まれています. ワームは、CentOSまたはRHELに基づくLinuxディストリビューションに必要なパッケージのみをダウンロードしてインストールします, YellowdogUpdaterのみを使用するため, 変更 (YUM) パッケージマネージャー.

私もその事実について話したことを思い出させてください 奇妙なマルウェアは、被害者が海賊サイトにアクセスするのを防ぎます.