DarkRadiation Ransomware minaccia le distribuzioni Linux
Non è una sorpresa che la maggior parte dei malware rilasciati su Internet colpisca esclusivamente i computer Windows. Dopotutto, questo è il sistema operativo più utilizzato al mondo. Tuttavia, i sistemi operativi basati su UNIX sono sempre più spesso presi di mira dagli attori delle minacce. Gli utenti Mac non si sentono più al sicuro come qualche anno fa e lo stesso potrebbe valere anche per gli utenti Linux. Alcune moderne famiglie di malware prendono di mira specifiche distribuzioni Linux e il post di oggi si concentra su tale minaccia: il DarkRadiation Ransomware.
DarkRadiation Ransomware si concentra su Red Hat e CentOS
I creatori di DarkRadiation Ransomware sono sconosciuti, ma sembrano avere familiarità con i dettagli di Red Hat e CentOS, le due distribuzioni Linux che questo malware prende di mira. L'attacco coinvolge più fasi e gli aggressori sfruttano un worm personalizzato, nonché strumenti pubblici per offuscare gli script bash dannosi che utilizzano. Secondo i ricercatori di sicurezza informatica, il DarkRadiation Ransomware è sottoposto a frequenti aggiornamenti e hanno identificato dozzine di versioni diverse del file-locker. La maggior parte di queste versioni, tuttavia, presentava piccole differenze tra loro.
I criminali si affidano a un semplice script di worm SSH per forzare chiavi SSH e password che non sono abbastanza complesse. Se una connessione viene stabilita con successo, il componente worm distribuirà DarkRadiation Ransomware e procederà con l'attacco.
Mentre lo scopo finale di DarkRadiation Ransomware è crittografare i dati della vittima e quindi estorcerli per denaro, fa anche alcune cose piuttosto affascinanti. Per cominciare, ha uno script bash offuscato, che ha lo scopo di:
- Impostazione delle password di tutti gli utenti esistenti su megapassword .
- Creazione di un nuovo utente chiamato ferrum con la password MegPw0rD3 .
- Elimina tutti gli altri utenti tranne ferrum .
Una volta che un file è bloccato, il ransomware gli applica un'estensione interessante: un'icona radioattiva (☢). Quindi termina tutte le istanze di Docker e genera la richiesta di riscatto in una nuova finestra del terminale. Durante l'intero processo, DarkRadiation Ransomware e il worm SSH segnaleranno all'attaccante utilizzando un bot di Telegram.
Il DarkRadiation Ransomware non è considerato decifrabile e l'unica opzione di recupero affidabile per le sue vittime è ripristinare i file persi da un backup.