DarkRadiationランサムウェアがLinuxディストリビューションを脅かす

インターネットでリリースされたマルウェアの大部分がWindowsコンピューターのみを標的にしているのは当然のことです。結局のところ、これは世界で最も広く使用されているオペレーティングシステムです。ただし、UNIXベースのオペレーティングシステムも、ますます頻繁に脅威アクターの標的になっています。 Macユーザーは、数年前ほど安全ではなくなっており、Linuxユーザーにも同じことが当てはまる可能性があります。最近のマルウェアファミリーの中には、特定のLinuxディストリビューションを標的にしているものがあり、今日の投稿では、そのような脅威であるDarkRadiationRansomwareに焦点を当てています。

DarkRadiationランサムウェアはRedHatとCentOSに焦点を当てています

DarkRadiation Ransomwareの作成者は不明ですが、このマルウェアが標的とする2つのLinuxディストリビューションであるRedHatとCentOSの詳細に精通しているようです。攻撃には複数の段階があり、攻撃者はカスタムビルドのワームと公開ツールを利用して、使用する悪意のあるbashスクリプトを難読化します。サイバーセキュリティの研究者によると、DarkRadiationランサムウェアは頻繁に更新され、ファイルロッカーの数十の異なるバージョンが特定されています。ただし、これらのバージョンの大部分は、互いにわずかな違いがありました。

犯罪者は、単純なSSHワームスクリプトを使用して、十分に複雑ではないSSHキーとパスワードを総当たり攻撃しています。接続が正常に確立されると、ワームコンポーネントはDarkRadiationランサムウェアを展開し、攻撃を続行します。 

DarkRadiation Ransomwareの最終的な目的は、被害者のデータを暗号化してから金銭を強要することですが、それはまた、かなり魅力的なことも行います。手始めに、難読化されたbashスクリプトがあり、次の目的を果たします。

  • 既存のすべてのユーザーのパスワードをmegapasswordに設定します。
  • パスワードMegPw0rD3を使用してferrumという新しいユーザーを作成します。
  • ferrum以外の他のすべてのユーザーを削除します。

ファイルがロックされると、ランサムウェアは興味深い拡張子である放射性アイコンを適用します(☢)。次に、すべてのDockerインスタンスを終了し、新しいターミナルウィンドウに身代金メモを生成します。このプロセス全体で、DarkRadiationランサムウェアとSSHワームは、Telegramボットを使用して攻撃者に報告します。

DarkRadiationランサムウェアは復号化可能とは見なされておらず、被害者にとって信頼できる唯一の回復オプションは、失われたファイルをバックアップから復元することです。

June 23, 2021
Uncategorized