Ransomware DarkRadiation zagraża dystrybucji Linuksa

Nie jest niespodzianką, że większość szkodliwego oprogramowania publikowanego w Internecie atakuje wyłącznie komputery z systemem Windows. W końcu jest to najczęściej używany system operacyjny na świecie. Jednak systemy operacyjne oparte na systemie UNIX są również coraz częściej celem ataków cyberprzestępców. Użytkownicy komputerów Mac nie czują się już tak bezpiecznie, jak kilka lat temu, a to samo może dotyczyć również użytkowników Linuksa. Niektóre współczesne rodziny złośliwego oprogramowania atakują określone dystrybucje Linuksa, a dzisiejszy post koncentruje się na takim zagrożeniu – DarkRadiation Ransomware.

Ransomware DarkRadiation koncentruje się na Red Hat i CentOS

Twórcy DarkRadiation Ransomware są nieznani, ale wydają się być zaznajomieni z tajnikami Red Hat i CentOS, dwóch dystrybucji Linuksa, na które atakuje to złośliwe oprogramowanie. Atak składa się z wielu etapów, a osoby atakujące wykorzystują specjalnie zbudowanego robaka, a także publiczne narzędzia do maskowania złośliwych skryptów basha, których używają. Według badaczy cyberbezpieczeństwa, DarkRadiation Ransomware przechodzi częste aktualizacje i zidentyfikowali dziesiątki różnych wersji blokady plików. Większość z tych wersji miała jednak niewielkie różnice między sobą.

Przestępcy polegają na prostym skrypcie robaka SSH do brutalnego wymuszania kluczy SSH i haseł, które nie są wystarczająco złożone. Jeśli połączenie zostanie nawiązane pomyślnie, komponent robaka wdroży oprogramowanie DarkRadiation Ransomware i przystąpi do ataku. 

Podczas gdy ostatecznym celem DarkRadiation Ransomware jest szyfrowanie danych ofiary, a następnie wyłudzanie ich za pieniądze, robi również kilka fascynujących rzeczy na boku. Na początek ma zaciemniony skrypt basha, który służy do:

• Ustawienie haseł wszystkich istniejących użytkowników na megapassword .
• Utworzenie nowego użytkownika o nazwie ferrum z hasłem MegPw0rD3 .
• Usuń wszystkich innych użytkowników oprócz ferrum .

Po zablokowaniu pliku ransomware stosuje do niego interesujące rozszerzenie – radioaktywną ikonę (☢). Następnie kończy wszystkie instancje platformy Docker i wyświetla żądanie okupu w nowym oknie terminala. Podczas tego całego procesu DarkRadiation Ransomware i robak SSH będą zgłaszać się atakującemu za pomocą bota Telegram.

Ransomware DarkRadiation nie jest uważane za możliwe do odszyfrowania, a jedyną niezawodną opcją odzyskiwania dla jego ofiar jest przywrócenie utraconych plików z kopii zapasowej.