DarkRadiation 勒索软件威胁 Linux 发行版

Internet 上发布的大多数恶意软件都专门针对 Windows 计算机,这并不奇怪。毕竟,这是世界上使用最广泛的操作系统。然而,基于 UNIX 的操作系统也越来越频繁地成为威胁参与者的目标。 Mac 用户不再像几年前那样感到安全,这也可能适用于 Linux 用户。一些现代恶意软件系列针对特定的 Linux 发行版,今天的帖子重点关注此类威胁 - DarkRadiation Ransomware。

DarkRadiation Ransomware 专注于 Red Hat 和 CentOS

DarkRadiation Ransomware 的创建者未知,但他们似乎熟悉 Red Hat 和 CentOS(该恶意软件针对的两个 Linux 发行版)的来龙去脉。攻击涉及多个阶段,攻击者利用定制的蠕虫以及公共工具来混淆他们使用的恶意 bash 脚本。据网络安全研究人员称,DarkRadiation Ransomware 经常更新,他们已经识别出数十种不同版本的文件锁。然而,这些版本中的大多数版本彼此之间存在细微差别。

犯罪分子依靠一个简单的 SSH 蠕虫脚本来暴力破解不够复杂的 SSH 密钥和密码。如果成功建立连接,蠕虫组件将部署 DarkRadiation Ransomware 并继续攻击。 

虽然 DarkRadiation Ransomware 的最终目的是加密受害者的数据,然后勒索他们以获取金钱,但它也做了一些非常有趣的事情。首先,它有一个混淆的 bash 脚本,其目的是:

  • 将所有现有用户的密码设置为megapassword
  • 创建一个名为与密码MegPw0rD3新用户。
  • 删除除 ferrum之外的所有其他用户。

一旦文件被锁定,勒索软件就会对其应用一个有趣的扩展——放射性图标(☢)。然后它会终止所有 Docker 实例并在新的终端窗口中生成赎金记录。在整个过程中,DarkRadiation Ransomware 和 SSH 蠕虫将使用 Telegram bot 向攻击者报告。

DarkRadiation Ransomware 不被认为是可解密的,其受害者唯一可靠的恢复选项是从备份中恢复丢失的文件。

June 23, 2021
Uncategorized