DarkRadiation Ransomware bedreigt Linux-distributies

Het is geen verrassing dat de meeste malware die op internet wordt vrijgegeven, uitsluitend gericht is op Windows-computers. Dit is tenslotte het meest gebruikte besturingssysteem ter wereld. Echter, op UNIX gebaseerde besturingssystemen zijn ook steeds vaker het doelwit van bedreigingsactoren. Mac-gebruikers voelen zich niet meer zo veilig als een paar jaar geleden, en hetzelfde kan ook gelden voor Linux-gebruikers. Sommige moderne malwarefamilies richten zich op specifieke Linux-distributies en de post van vandaag richt zich op een dergelijke bedreiging: de DarkRadiation Ransomware.

DarkRadiation Ransomware richt zich op Red Hat en CentOS

De makers van DarkRadiation Ransomware zijn onbekend, maar ze lijken bekend te zijn met de ins en outs van Red Hat en CentOS, de twee Linux-distributies waarop deze malware zich richt. De aanval omvat meerdere fasen en de aanvallers maken gebruik van een op maat gemaakte worm en openbare tools om de kwaadaardige bash-scripts die ze gebruiken te verdoezelen. Volgens cybersecurity-onderzoekers ondergaat de DarkRadiation Ransomware regelmatig updates en hebben ze tientallen verschillende versies van de bestandslocker geïdentificeerd. De meeste van deze versies hadden echter kleine onderlinge verschillen.

De criminelen vertrouwen op een eenvoudig SSH-wormscript om SSH-sleutels en wachtwoorden die niet complex genoeg zijn brute-forceren. Als er een verbinding tot stand is gebracht, zal de wormcomponent de DarkRadiation Ransomware inzetten en doorgaan met de aanval. 

Hoewel het uiteindelijke doel van de DarkRadiation Ransomware is om de gegevens van het slachtoffer te versleutelen en ze vervolgens af te persen voor geld, doet het ook een aantal behoorlijk fascinerende dingen. Om te beginnen heeft het een versluierd bash-script, dat dient voor:

  • De wachtwoorden van alle bestaande gebruikers instellen op megapassword .
  • Aanmaken van een nieuwe gebruiker genaamd ferrum met het wachtwoord MegPw0rD3 .
  • Verwijder alle andere gebruikers behalve ferrum .

Zodra een bestand is vergrendeld, past de ransomware er een interessante extensie op toe - een radioactief pictogram (☢.) Het beëindigt vervolgens alle Docker-instanties en spawnt het losgeldbriefje in een nieuw terminalvenster. Tijdens dit hele proces rapporteren de DarkRadiation Ransomware en de SSH-worm aan de aanvaller met behulp van een Telegram-bot.

De DarkRadiation Ransomware wordt niet als decodeerbaar beschouwd en de enige betrouwbare hersteloptie voor de slachtoffers is om de verloren bestanden vanaf een back-up te herstellen.

June 23, 2021
Uncategorized