研究人員警告新的 DarkRadiation 勒索軟件

趨勢科技網絡安全專家 關於 Cyclops Blink 殭屍網絡的活動 一種名為 DarkRadiation 的新型勒索軟件. 該惡意軟件旨在攻擊 Red Hat/CentOS 和 Debian Linux 發行版. 與C溝通&C服務器, 攻擊者使用電報信使.

該惡意軟件使用 AES (高級加密標準) 使用 CBC 模式的對稱塊密碼算法來加密各種目錄中的文件. 在目前的時間, 沒有關於用於傳播惡意軟件的方法的信息, 並且沒有證據表明在實際攻擊中使用了勒索軟件.

該信息是通過分析託管在 api_attack 目錄中身份不明的攻擊者的基礎設施中的一組黑客工具而獲得的. api_attack 文件夾包含多個版本的 DarkRadiation 和 SSH 蠕蟲 (下載器.sh) 負責傳播惡意軟件.

勒索軟件正在積極開發中, 為了混淆的目的，它使用開源工具 node-bash-obfuscate, 這允許您將代碼分成幾個片段, 然後為每個段分配一個變量名，並用對變量的引用替換原始腳本.

DarkRadiation 檢查它是否以 root 身份啟動並使用提升的權限來下載和安裝 Wget, cURL 和 OpenSSL 庫. 該軟件還定期收集有關使用 Unix 系統登錄的用戶的信息 “WHO” 每五秒命令一次. 然後將數據傳輸到攻擊者使用 Telegram API 控制的服務器.

在攻擊的最後階段, 惡意軟件創建了受感染系統上所有可用用戶的列表, 用 megapassword 覆蓋現有密碼並刪除所有 shell 用戶, 在創建新用戶 ferrum 和密碼 MegPw0rD3 以繼續加密過程之前.

DarkRadiation 還會禁用受感染系統上所有正在運行的 Docker 容器並生成贖金票據. 據專家介紹, 勒索軟件添加了放射性字符 (.☢) 作為加密文件的擴展.

DarkRadiation 包含 install_tools 函數，用於在受感染系統上下載並安裝必要的實用程序（如果尚未安裝）. 該蠕蟲僅下載並安裝基於 CentOS 或 RHEL 的 Linux 發行版所需的軟件包, 因為它只使用 Yellowdog Updater, 修改的 (百勝) 包管理器.

讓我提醒你，我也談到了這樣一個事實 奇怪的惡意軟件阻止受害者訪問盜版網站.