A DarkRadiation Ransomware fenyegeti a Linux disztribúciókat

Nem meglepő, hogy az interneten kiadott rosszindulatú programok többsége kizárólag a Windows számítógépeket célozza meg. Végül is ez a legszélesebb körben használt operációs rendszer a világon. A UNIX-alapú operációs rendszereket azonban a fenyegetés szereplői is egyre gyakrabban célozták meg. A Mac-felhasználók már nem érzik magukat olyan biztonságban, mint néhány évvel ezelőtt, és ugyanez vonatkozhat a Linux-felhasználókra is. Néhány modern rosszindulatú program-család konkrét Linux disztribúciókat céloz meg, és a mai bejegyzés ilyen fenyegetésre - a DarkRadiation Ransomware-re koncentrál.

A DarkRadiation Ransomware a Red Hat-re és a CentOS-ra összpontosít

A DarkRadiation Ransomware alkotói ismeretlenek, de úgy tűnik, hogy ismerik a Red Hat és a CentOS, a két Linux disztribúció csínját-bínját, amelyet ez a rosszindulatú program megcéloz. A támadás több szakaszból áll, és a támadók egyedi tervezésű férget, valamint nyilvános eszközöket használnak az általuk használt rosszindulatú bash szkriptek elhomályosítására. Kiberbiztonsági kutatók szerint a DarkRadiation Ransomware gyakran frissül, és több tucat különböző verziót azonosítottak a fájlzárban. E változatok többségénél azonban kisebb különbségek voltak.

A bűnözők egy egyszerű SSH féregszkriptre támaszkodnak a nem elég bonyolult SSH-kulcsok és jelszavak durva erővel. Ha a kapcsolat sikeresen létrejön, a féreg összetevő telepíti a DarkRadiation Ransomware programot, és folytatja a támadást. 

Míg a DarkRadiation Ransomware végső célja az áldozat adatainak titkosítása, majd pénzért való kicsikarása, az oldalon elég érdekes dolgokat is végez. Kezdetnek van egy homályos bash szkriptje, amelynek célja:

  • Az összes meglévő felhasználó jelszavának megapassszóra állítása .
  • Új felhasználó, ferrum nevű felhasználó létrehozása a MegPw0rD3 jelszóval.
  • A ferrum kivételével törölje az összes többi felhasználót.

Miután egy fájl zárolva van, a ransomware érdekes kiterjesztést alkalmaz rá - egy radioaktív ikont (☢.) Ezután megszünteti az összes Docker-példányt, és egy új terminálablakban hozza létre a váltságdíjat. Az egész folyamat során a DarkRadiation Ransomware és az SSH féreg Telegram bot segítségével jelentést tesz a támadónak.

A DarkRadiation Ransomware nem tekinthető dekódolhatónak, és áldozatainak egyetlen megbízható helyreállítási lehetősége az elveszett fájlok biztonsági mentésből történő helyreállítása.

June 23, 2021
Uncategorized