DarkRadiation Ransomware truer Linux-distribusjoner

Det er ikke en overraskelse at flertallet av skadelig programvare som blir utgitt på Internett, er målrettet mot Windows-datamaskiner. Tross alt er dette det mest brukte operativsystemet i verden. Imidlertid har UNIX-baserte operativsystemer blitt målrettet av trusselaktører oftere og oftere. Mac-brukere føler seg ikke lenger like trygge som de var for noen år siden, og det samme kan også gjelde Linux-brukere. Noen moderne malware-familier retter seg mot spesifikke Linux-distribusjoner, og dagens innlegg fokuserer på en slik trussel - DarkRadiation Ransomware.

DarkRadiation Ransomware fokuserer på Red Hat og CentOS

Skaperne til DarkRadiation Ransomware er ukjente, men de ser ut til å være kjent med innsiden av Red Hat og CentOS, de to Linux-distribusjonene som denne malware retter seg mot. Angrepet involverer flere stadier, og angriperne utnytter en spesialbygd orm, så vel som offentlige verktøy for å tilsløre de ondsinnede bash-skriptene de bruker. I følge cybersecurity-forskere gjennomgår DarkRadiation Ransomware hyppige oppdateringer, og de har identifisert dusinvis av forskjellige versjoner av fillåsen. Flertallet av disse versjonene hadde imidlertid mindre forskjeller mellom hverandre.

Kriminelle stoler på et enkelt SSH-ormeskript for å tvinge SSH-nøkler og passord som ikke er komplekse nok. Hvis en forbindelse er vellykket, vil ormekomponenten distribuere DarkRadiation Ransomware og fortsette med angrepet. 

Mens det endelige formålet med DarkRadiation Ransomware er å kryptere offerets data og deretter presse dem ut for penger, gjør det også noen ganske fascinerende ting på siden. For det første har den et forvirret bash-skript som tjener formålet med:

  • Sette passordene til alle eksisterende brukere til megapassword .
  • Opprette en ny bruker kalt ferrum med passordet MegPw0rD3 .
  • Slett alle andre brukere bortsett fra ferrum .

Når en fil er låst, bruker ransomware en interessant utvidelse til den - et radioaktivt ikon (☢.) Den avslutter deretter alle Docker-forekomster og gyter løsepenger i et nytt terminalvindu. I løpet av hele denne prosessen vil DarkRadiation Ransomware og SSH-ormen rapportere til angriperen ved hjelp av en Telegram-bot.

DarkRadiation Ransomware anses ikke å være dekrypterbar, og det eneste pålitelige gjenopprettingsalternativet for ofrene er å gjenopprette tapte filer fra en sikkerhetskopi.

June 23, 2021
Uncategorized