DarkRadiation Ransomware bedreigt Linux-distributies

Het is geen verrassing dat de meeste malware die op internet wordt vrijgegeven, uitsluitend gericht is op Windows-computers. Dit is tenslotte het meest gebruikte besturingssysteem ter wereld. Echter, op UNIX gebaseerde besturingssystemen zijn ook steeds vaker het doelwit van bedreigingsactoren. Mac-gebruikers voelen zich niet meer zo veilig als een paar jaar geleden, en hetzelfde kan ook gelden voor Linux-gebruikers. Sommige moderne malwarefamilies richten zich op specifieke Linux-distributies en de post van vandaag richt zich op een dergelijke bedreiging: de DarkRadiation Ransomware.

DarkRadiation Ransomware richt zich op Red Hat en CentOS

De makers van DarkRadiation Ransomware zijn onbekend, maar ze lijken bekend te zijn met de ins en outs van Red Hat en CentOS, de twee Linux-distributies waarop deze malware zich richt. De aanval omvat meerdere fasen en de aanvallers maken gebruik van een op maat gemaakte worm en openbare tools om de kwaadaardige bash-scripts die ze gebruiken te verdoezelen. Volgens cybersecurity-onderzoekers ondergaat de DarkRadiation Ransomware regelmatig updates en hebben ze tientallen verschillende versies van de bestandslocker geïdentificeerd. De meeste van deze versies hadden echter kleine onderlinge verschillen.

De criminelen vertrouwen op een eenvoudig SSH-wormscript om SSH-sleutels en wachtwoorden die niet complex genoeg zijn brute-forceren. Als er een verbinding tot stand is gebracht, zal de wormcomponent de DarkRadiation Ransomware inzetten en doorgaan met de aanval. 

Hoewel het uiteindelijke doel van de DarkRadiation Ransomware is om de gegevens van het slachtoffer te versleutelen en ze vervolgens af te persen voor geld, doet het ook een aantal behoorlijk fascinerende dingen. Om te beginnen heeft het een versluierd bash-script, dat dient voor:

  • De wachtwoorden van alle bestaande gebruikers instellen op megapassword .
  • Aanmaken van een nieuwe gebruiker genaamd ferrum met het wachtwoord MegPw0rD3 .
  • Verwijder alle andere gebruikers behalve ferrum .

Zodra een bestand is vergrendeld, past de ransomware er een interessante extensie op toe - een radioactief pictogram (☢.) Het beëindigt vervolgens alle Docker-instanties en spawnt het losgeldbriefje in een nieuw terminalvenster. Tijdens dit hele proces rapporteren de DarkRadiation Ransomware en de SSH-worm aan de aanvaller met behulp van een Telegram-bot.

De DarkRadiation Ransomware wordt niet als decodeerbaar beschouwd en de enige betrouwbare hersteloptie voor de slachtoffers is om de verloren bestanden vanaf een back-up te herstellen.

June 23, 2021
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.