DarkRadiation 勒索軟件威脅 Linux 發行版

Internet 上發布的大多數惡意軟件都專門針對 Windows 計算機,這並不奇怪。畢竟,這是世界上使用最廣泛的操作系統。然而,基於 UNIX 的操作系統也越來越頻繁地成為威脅參與者的目標。 Mac 用戶不再像幾年前那樣感到安全,這也可能適用於 Linux 用戶。一些現代惡意軟件系列針對特定的 Linux 發行版,今天的帖子重點關注此類威脅 - DarkRadiation Ransomware。

DarkRadiation Ransomware 專注於 Red Hat 和 CentOS

DarkRadiation Ransomware 的創建者未知,但他們似乎熟悉 Red Hat 和 CentOS(該惡意軟件針對的兩個 Linux 發行版)的來龍去脈。攻擊涉及多個階段,攻擊者利用定制的蠕蟲以及公共工具來混淆他們使用的惡意 bash 腳本。據網絡安全研究人員稱,DarkRadiation Ransomware 經常更新,他們已經識別出數十種不同版本的文件鎖。然而,這些版本中的大多數版本彼此之間存在細微差別。

犯罪分子依靠一個簡單的 SSH 蠕蟲腳本來暴力破解不夠複雜的 SSH 密鑰和密碼。如果成功建立連接,蠕蟲組件將部署 DarkRadiation Ransomware 並繼續攻擊。 

雖然 DarkRadiation Ransomware 的最終目的是加密受害者的數據,然後勒索他們以獲取金錢,但它也做了一些非常有趣的事情。首先,它有一個混淆的 bash 腳本,其目的是:

  • 將所有現有用戶的密碼設置為megapassword
  • 創建一個名為與密碼MegPw0rD3新用戶。
  • 刪除除 ferrum之外的所有其他用戶。

一旦文件被鎖定,勒索軟件就會對其應用一個有趣的擴展——放射性圖標(☢)。然後它會終止所有 Docker 實例並在新的終端窗口中生成贖金記錄。在整個過程中,DarkRadiation Ransomware 和 SSH 蠕蟲將使用 Telegram bot 向攻擊者報告。

DarkRadiation Ransomware 不被認為是可解密的,其受害者唯一可靠的恢復選項是從備份中恢復丟失的文件。

June 23, 2021
Uncategorized