연구원들은 새로운 DarkRadation 랜섬웨어에 대해 경고했습니다.
트렌드마이크로 사이버 보안 전문가 경고 DarkRadation이라는 새로운 랜섬웨어. 맬웨어는 Red Hat/CentOS 및 Debian Linux 배포판을 공격하도록 설계되었습니다.. C와 통신하려면&C 서버, 공격자는 텔레그램 메신저를 사용합니다..
멀웨어는 AES를 사용합니다. (고급 암호화 표준) 다양한 디렉토리의 파일을 암호화하는 CBC 모드의 대칭 블록 암호 알고리즘. 현재 시점에서, 맬웨어를 전파하는 데 사용된 방법에 대한 정보가 없습니다., 실제 공격에 랜섬웨어가 사용되었다는 증거가 없습니다..
해당 정보는 api_attack 디렉토리 내 미확인 공격자의 인프라에 호스팅된 일련의 해킹 도구 분석 결과 획득. api_attack 폴더에는 여러 버전의 DarkRadation 및 SSH 웜이 포함되어 있습니다. (다운로더.sh) 악성코드 유포 책임.
랜섬웨어가 활발하게 개발 중입니다., 난독화를 위해 오픈 소스 도구인 node-bash-obfuscate를 사용합니다., 코드를 여러 조각으로 나눌 수 있습니다., 그런 다음 각 세그먼트에 변수 이름을 할당하고 원래 스크립트를 변수에 대한 참조로 바꿉니다..
DarkRadation은 루트로 시작되었는지 확인하고 상승된 권한을 사용하여 Wget을 다운로드 및 설치합니다., cURL 및 OpenSSL 라이브러리. 소프트웨어는 또한 주기적으로 다음을 사용하여 Unix 시스템에 로그인한 사용자에 대한 정보를 수집합니다. “WHO” 5초마다 명령. 그런 다음 데이터는 Telegram API를 사용하여 공격자가 제어하는 서버로 전송됩니다..
공격의 마지막 단계에서, 멀웨어는 손상된 시스템에서 사용 가능한 모든 사용자 목록을 생성합니다., 기존 암호를 megapassword로 덮어쓰고 모든 셸 사용자를 삭제합니다., 암호화 프로세스를 계속하려면 새 사용자 ferrum 및 암호 MegPw0rD3을 생성하기 전에.
DarkRadation은 또한 감염된 시스템에서 실행 중인 모든 Docker 컨테이너를 비활성화하고 몸값을 생성합니다.. 전문가들에 따르면, 랜섬웨어는 방사능 문자를 추가합니다 (.☢) 암호화된 파일의 확장자로.
DarkRadation에는 아직 설치되지 않은 경우 감염된 시스템에 필요한 유틸리티를 다운로드하여 설치하는 install_tools 기능이 포함되어 있습니다.. 웜은 CentOS 또는 RHEL 기반 Linux 배포판에 필요한 패키지만 다운로드하여 설치합니다., Yellowdog Updater만 사용하기 때문에, 수정됨 (냠) 패키지 관리자.
