Raziskovalci so opozorili na novo izsiljevalsko programsko opremo DarkRadiation

Helga Smithjunija 23, 2021Zadnja posodobitev: julija 12, 2021
2 minute branje

Trend Micro strokovnjaki za kibernetsko varnost opozoril nove izsiljevalske programske opreme, imenovane DarkRadiation. Zlonamerna programska oprema je zasnovana za napad na distribucije Red Hat/CentOS in Debian Linux. Za komunikacijo s C&C strežnik, napadalci uporabljajo messenger Telegram.

Zlonamerna programska oprema uporablja AES (Napredni standard šifriranja) algoritem simetričnega blokovnega šifriranja z načinom CBC za šifriranje datotek v različnih imenikih. V sedanjem času, ni podatkov o uporabljenih metodah za širjenje zlonamerne programske opreme, in ni dokazov, da je bila v dejanskih napadih uporabljena izsiljevalska programska oprema.

Informacije so bile pridobljene kot rezultat analize nabora hekerskih orodij, ki gostujejo v infrastrukturi neznanega napadalca v imeniku api_attack.. Mapa api_attack je vsebovala več različic DarkRadiation in črva SSH (downloader.sh) odgovoren za širjenje zlonamerne programske opreme.

Izsiljevalska programska oprema je v aktivnem razvoju, za namen zakrivanja uporablja odprtokodno orodje node-bash-obfuscate, ki vam omogoča, da kodo razdelite na več fragmentov, nato vsakemu segmentu dodelite ime spremenljivke in zamenjajte izvirni skript s sklici na spremenljivke.

Večina orodij ima zelo nizke številke zaznave v Virus Total. Zdi se, da so nekateri scenariji še v fazi razvoja.pravijo raziskovalci.

DarkRadiation preveri, ali je bil zagnan kot root, in uporablja povišana dovoljenja za prenos in namestitev Wget, knjižnici cURL in OpenSSL. Programska oprema občasno zbira tudi informacije o uporabnikih, prijavljenih v sistem Unix z uporabo “WHO” ukaz vsakih pet sekund. Podatki se nato prenesejo na strežnik, ki ga nadzoruje napadalec z uporabo API-ja Telegram.

Na zadnji stopnji napada, zlonamerna programska oprema ustvari seznam vseh razpoložljivih uporabnikov v ogroženem sistemu, prepiše obstoječa gesla z megageslom in izbriše vse uporabnike lupine, preden ustvarite novega uporabnika ferrum in geslo MegPw0rD3 za nadaljevanje postopka šifriranja.

Izsiljevalska programska oprema lahko izbriše vse uporabnike v okuženem sistemu (čeprav v nekaterih različicah ohrani root uporabnika) in lahko ustvari račun samo za napadalca. Kar se tiče šifriranja datotek, izsiljevalska programska oprema uporablja algoritem AES OpenSSL za šifriranje datoteke z določenimi končnicami ali vseh datotek v danem imeniku.pišejo raziskovalci Trend Micro.

DarkRadiation tudi onemogoči vse delujoče vsebnike Docker v okuženem sistemu in ustvari obvestilo o odkupnini. Po mnenju strokovnjakov, izsiljevalska programska oprema doda radioaktivne znake (.☢) kot razširitev šifrirane datoteke.

DarkRadiation vsebuje funkcijo install_tools za prenos in namestitev potrebnih pripomočkov v okuženi sistem, če še niso nameščeni. Črv prenese in namesti samo potrebne pakete za distribucijo Linuxa, ki temelji na CentOS ali RHEL, ker uporablja samo Yellowdog Updater, Spremenjeno (Njam) upravitelj paketov.

Naj vas spomnim, da sem govoril tudi o tem, da Nenavadna zlonamerna programska oprema žrtvam preprečuje obisk piratskih spletnih mest.

Oznake
Helga Smithjunija 23, 2021Zadnja posodobitev: julija 12, 2021
2 minute branje

Helga Smith

Vedno me je zanimalo računalništvo, zlasti varnost podatkov in tema, ki se dandanes imenuje "znanost o podatkih", že od zgodnjih najstniških let. Pred prihodom v ekipo za odstranjevanje virusov kot glavni urednik, Delal sem kot strokovnjak za kibernetsko varnost v več podjetjih, including one of Amazon's contractors. Še ena izkušnja: Poučujem na univerzah Arden in Reading.

Pustite odgovor

Your email address will not be published. Required fields are marked *

To spletno mesto uporablja Akismet za zmanjšanje neželene pošte. Preberite, kako se obdelujejo vaši komentarji.

Gumb Nazaj na vrh