DarkRadiation Ransomware Ameaça Distribuições Linux
Não é surpresa que a maioria dos malwares lançados na Internet visam exclusivamente computadores Windows. Afinal, este é o sistema operacional mais usado no mundo. No entanto, os sistemas operacionais baseados em UNIX também têm sido alvo de ameaças cada vez mais frequentes. Os usuários do Mac não se sentem mais tão seguros quanto antes, e o mesmo pode se aplicar aos usuários do Linux. Algumas famílias de malware modernas têm como alvo distribuições Linux específicas, e a postagem de hoje se concentra nessa ameaça - o DarkRadiation Ransomware.
DarkRadiation Ransomware foca no Red Hat e CentOS
Os criadores do DarkRadiation Ransomware são desconhecidos, mas eles parecem estar familiarizados com os meandros do Red Hat e CentOS, as duas distribuições de Linux que este malware tem como alvo. O ataque envolve vários estágios e os invasores aproveitam um worm personalizado, bem como ferramentas públicas para ofuscar os scripts bash maliciosos que usam. De acordo com pesquisadores de segurança cibernética, o DarkRadiation Ransomware passa por atualizações frequentes, e eles identificaram dezenas de versões diferentes do armário de arquivos. A maioria dessas versões, no entanto, tinha pequenas diferenças entre si.
Os criminosos dependem de um script de worm SSH simples para chaves SSH de força bruta e senhas que não são complexas o suficiente. Se uma conexão for estabelecida com sucesso, o componente worm implantará o DarkRadiation Ransomware e continuará com o ataque.
Embora o objetivo final do DarkRadiation Ransomware seja criptografar os dados da vítima e, em seguida, extorquir por dinheiro, ele também faz algumas coisas muito fascinantes em paralelo. Para começar, ele tem um script bash ofuscado, que serve ao propósito de:
- Definir as senhas de todos os usuários existentes para megapassword .
- Criando um novo usuário chamado ferrum com a senha MegPw0rD3 .
- Exclua todos os outros usuários, exceto ferrum .
Depois que um arquivo é bloqueado, o ransomware aplica uma extensão interessante a ele - um ícone radioativo (☢.) Ele então encerra todas as instâncias do Docker e gera a nota de resgate em uma nova janela de terminal. Durante todo o processo, o DarkRadiation Ransomware e o worm SSH se reportarão ao invasor usando um bot do Telegram.
O DarkRadiation Ransomware não é considerado descriptografável e a única opção de recuperação confiável para suas vítimas é restaurar os arquivos perdidos de um backup.