Το DarkRadiation Ransomware απειλεί τις διανομές Linux

Δεν αποτελεί έκπληξη το γεγονός ότι η πλειονότητα του κακόβουλου λογισμικού που κυκλοφορεί στο Διαδίκτυο στοχεύει αποκλειστικά υπολογιστές Windows. Σε τελική ανάλυση, αυτό είναι το πιο διαδεδομένο λειτουργικό σύστημα στον κόσμο. Ωστόσο, λειτουργικά συστήματα που βασίζονται στο UNIX έχουν επίσης στοχευθεί από απειλητικούς φορείς όλο και πιο συχνά. Οι χρήστες Mac δεν αισθάνονται πλέον τόσο ασφαλείς όσο πριν από λίγα χρόνια, και το ίδιο μπορεί να ισχύει και για χρήστες Linux. Ορισμένες σύγχρονες οικογένειες κακόβουλων προγραμμάτων στοχεύουν συγκεκριμένες διανομές Linux και η σημερινή ανάρτηση επικεντρώνεται σε μια τέτοια απειλή - το DarkRadiation Ransomware.

Το DarkRadiation Ransomware εστιάζει στο Red Hat και το CentOS

Οι δημιουργοί του DarkRadiation Ransomware είναι άγνωστοι, αλλά φαίνεται να είναι εξοικειωμένοι με τα σκαμπανεβάσματα των Red Hat και CentOS, των δύο διανομών Linux που στοχεύει αυτό το κακόβουλο λογισμικό. Η επίθεση περιλαμβάνει πολλά στάδια και οι επιτιθέμενοι χρησιμοποιούν ένα προσαρμοσμένο σκουλήκι, καθώς και δημόσια εργαλεία για να αποκρύψουν τα κακόβουλα σενάρια bash που χρησιμοποιούν. Σύμφωνα με τους ερευνητές της ασφάλειας στον κυβερνοχώρο, το DarkRadiation Ransomware υποβάλλεται σε συχνές ενημερώσεις και έχουν εντοπίσει δεκάδες διαφορετικές εκδόσεις του προγράμματος φύλαξης αρχείων. Η πλειονότητα αυτών των εκδόσεων, ωστόσο, είχε μικρές διαφορές μεταξύ τους.

Οι εγκληματίες βασίζονται σε ένα απλό σενάριο τύπου worm SSH για να κάνουν brute-force SSH κλειδιά και κωδικούς πρόσβασης που δεν είναι αρκετά περίπλοκοι. Εάν μια σύνδεση δημιουργηθεί με επιτυχία, το στοιχείο worm θα αναπτύξει το DarkRadiation Ransomware και θα προχωρήσει στην επίθεση. 

Ενώ ο απώτερος σκοπός του DarkRadiation Ransomware είναι να κρυπτογραφήσει τα δεδομένα του θύματος και στη συνέχεια να τα αποσπάσει για χρήματα, κάνει επίσης μερικά πολύ συναρπαστικά πράγματα στο πλάι. Για αρχάριους, έχει ένα σκοτεινό σενάριο bash, το οποίο εξυπηρετεί το σκοπό:

• Ορισμός των κωδικών πρόσβασης όλων των υπαρχόντων χρηστών σε megapassword .
• Δημιουργία νέου χρήστη που ονομάζεται ferrum με τον κωδικό πρόσβασης MegPw0rD3 .
• Διαγράψτε όλους τους άλλους χρήστες εκτός από το ferrum .

Μόλις ένα αρχείο κλειδωθεί, το ransomware εφαρμόζει μια ενδιαφέρουσα επέκταση σε αυτό - ένα ραδιενεργό εικονίδιο (☢.) Στη συνέχεια τερματίζει όλες τις εμφανίσεις του Docker και δημιουργεί τη σημείωση λύτρων σε ένα νέο παράθυρο τερματικού. Κατά τη διάρκεια αυτής της διαδικασίας, το DarkRadiation Ransomware και το SSH worm θα αναφέρουν στον εισβολέα χρησιμοποιώντας ένα bot Telegram.

Το DarkRadiation Ransomware δεν θεωρείται αποκρυπτογραφούμενο και η μόνη αξιόπιστη επιλογή ανάκτησης για τα θύματά του είναι η επαναφορά των χαμένων αρχείων από ένα αντίγραφο ασφαλείας.