DarkRadiation Ransomware amenaza las distribuciones de Linux

No es de extrañar que la mayoría del malware lanzado en Internet se dirija exclusivamente a ordenadores con Windows. Después de todo, este es el sistema operativo más utilizado en el mundo. Sin embargo, los sistemas operativos basados en UNIX también han sido atacados por los actores de amenazas cada vez con más frecuencia. Los usuarios de Mac ya no se sienten tan seguros como antes, y lo mismo podría aplicarse también a los usuarios de Linux. Algunas familias de malware modernas apuntan a distribuciones específicas de Linux, y la publicación de hoy se centra en dicha amenaza: DarkRadiation Ransomware.

DarkRadiation Ransomware se centra en Red Hat y CentOS

Los creadores de DarkRadiation Ransomware son desconocidos, pero parecen estar familiarizados con los entresijos de Red Hat y CentOS, las dos distribuciones de Linux a las que se dirige este malware. El ataque involucra múltiples etapas y los atacantes aprovechan un gusano personalizado, así como herramientas públicas para ofuscar los scripts de bash maliciosos que utilizan. Según los investigadores de ciberseguridad, DarkRadiation Ransomware se actualiza con frecuencia y han identificado docenas de versiones diferentes del casillero de archivos. La mayoría de estas versiones, sin embargo, tenían pequeñas diferencias entre sí.

Los delincuentes confían en un simple script de gusano SSH para forzar las claves SSH y contraseñas que no son lo suficientemente complejas. Si una conexión se establece con éxito, el componente del gusano desplegará DarkRadiation Ransomware y continuará con el ataque. 

Si bien el propósito final de DarkRadiation Ransomware es cifrar los datos de la víctima y luego extorsionarlos por dinero, también hace algunas cosas bastante fascinantes. Para empezar, tiene un script bash ofuscado, que sirve para:

  • Establecer las contraseñas de todos los usuarios existentes en megapassword .
  • Creando un nuevo usuario llamado ferrum con la contraseña MegPw0rD3 .
  • Elimina todos los demás usuarios excepto ferrum .

Una vez que un archivo está bloqueado, el ransomware le aplica una extensión interesante: un icono radiactivo (☢). Luego, finaliza todas las instancias de Docker y genera la nota de rescate en una nueva ventana de terminal. Durante todo este proceso, DarkRadiation Ransomware y el gusano SSH informarán al atacante mediante el uso de un bot de Telegram.

DarkRadiation Ransomware no se considera descifrable, y la única opción de recuperación confiable para sus víctimas es restaurar los archivos perdidos desde una copia de seguridad.

June 23, 2021
Uncategorized