DarkRadiation Ransomware menace les distributions Linux
Il n'est pas surprenant que la majorité des logiciels malveillants diffusés sur Internet ciblent exclusivement les ordinateurs Windows. Après tout, il s'agit du système d'exploitation le plus utilisé au monde. Cependant, les systèmes d'exploitation basés sur UNIX sont également de plus en plus ciblés par les acteurs de la menace. Les utilisateurs de Mac ne se sentent plus aussi en sécurité qu'il y a quelques années, et il en va peut-être de même pour les utilisateurs de Linux. Certaines familles de logiciels malveillants modernes ciblent des distributions Linux spécifiques, et le post d'aujourd'hui se concentre sur une telle menace - le DarkRadiation Ransomware.
DarkRadiation Ransomware se concentre sur Red Hat et CentOS
Les créateurs de DarkRadiation Ransomware sont inconnus, mais ils semblent bien connaître les tenants et aboutissants de Red Hat et CentOS, les deux distributions Linux ciblées par ce malware. L'attaque implique plusieurs étapes, et les attaquants utilisent un ver personnalisé, ainsi que des outils publics pour masquer les scripts bash malveillants qu'ils utilisent. Selon les chercheurs en cybersécurité, le DarkRadiation Ransomware subit des mises à jour fréquentes et ils ont identifié des dizaines de versions différentes du casier de fichiers. La majorité de ces versions, cependant, présentaient des différences mineures entre elles.
Les criminels s'appuient sur un simple script de ver SSH pour forcer brutalement des clés SSH et des mots de passe qui ne sont pas assez complexes. Si une connexion est établie avec succès, le composant du ver déploiera DarkRadiation Ransomware et procédera à l'attaque.
Bien que le but ultime du DarkRadiation Ransomware soit de crypter les données de la victime, puis de les extorquer pour de l'argent, il fait également des choses assez fascinantes à côté. Pour commencer, il a un script bash obscurci, qui sert à :
- Définition des mots de passe de tous les utilisateurs existants sur megapassword .
- Création d'un nouvel utilisateur appelé ferrum avec le mot de passe MegPw0rD3 .
- Supprimez tous les autres utilisateurs à l'exception de ferrum .
Une fois qu'un fichier est verrouillé, le ransomware lui applique une extension intéressante - une icône radioactive (☢.) Il met ensuite fin à toutes les instances Docker et génère la note de rançon dans une nouvelle fenêtre de terminal. Pendant tout ce processus, le DarkRadiation Ransomware et le ver SSH feront rapport à l'attaquant en utilisant un bot Telegram.
Le DarkRadiation Ransomware n'est pas considéré comme décryptable, et la seule option de récupération fiable pour ses victimes est de restaurer les fichiers perdus à partir d'une sauvegarde.