Ransomware DarkRadiation
Buongiorno cari lettori, oggi parleremo di un ransomware che colpisce debian.
La nuova catena di ransomware DarkRadiation è diversa da qualsiasi altra famiglia di ransomware.
I ricercatori di sicurezza informatica di Trend Micro hanno condiviso i risultati di un ceppo di ransomware appena identificato soprannominato DarkRadiation. Il ceppo ransomware è interamente scritto in Bash e questo aspetto rende difficile per la maggior parte dei software di sicurezza rilevarlo come una minaccia.
VEDERE: La banda di ransomware Revil colpisce l'appaltatore di armi nucleari degli Stati Uniti
I suoi obiettivi primari sono i container Linux e Docker Cloud, che sono particolarmente preoccupanti per le aziende. Inoltre, si affida a Telegram per avviare la comunicazione con il suo server C&C.
“Il ransomware … prende di mira le distribuzioni Red Hat/CentOS e Debian Linux. Il malware utilizza l'algoritmo AES di OpenSSL con modalità CBC per crittografare i file in varie directory. Utilizza anche l'API di Telegram per inviare uno stato di infezione agli attori della minaccia", hanno osservato i ricercatori nel loro rapporto .
Informazioni su DarkRadiation Ransomware
Il ransomware è stato rilevato per la prima volta dall'utente Twitter @r3dbU7z il 28 maggio. Successivamente, è stato analizzato dai ricercatori di Trend Micro. È stato riferito che il ransomware è stato scoperto come parte di una gamma di strumenti di hacker tramite VirusTotal. Gli strumenti erano ospitati sull'infrastruttura dell'autore della minaccia in una directory denominata "api_attack".
Attualmente, non ci sono informazioni sui metodi di consegna del ransomware o sulle sue prove di attacco in the wild. Ma, quando sono stati valutati i suoi diversi componenti, i ricercatori hanno notato che gli sviluppatori vogliono usarlo per indirizzare installazioni Linux e container Docker.
RedHat, distribuzioni Debian Linux colpite dal ransomware DarkRadiation
Nota di riscatto del ransomware DarkRadiation
Dettagli della catena dell'infezione da radiazioni scure
La catena di infezione di DarkRadiation è un processo a più fasi che comprende un insieme complesso di script Bash e circa sei C&C, tutti offline al momento della pubblicazione del rapporto. Il ransomware utilizza chiavi API codificate per comunicare con i bot di Telegram e gli script hanno diverse dipendenze, come curl, wget, OpenSSL, sshpass e pssh.
DarkRadiation scarica gli strumenti necessari tramite YUM/Yellowdog Updater, Modificato se un dispositivo non supporta nessuno di questi. È un gestore di pacchetti basato su Python utilizzato dalle popolari distribuzioni Linux, tra cui RedHat e CentOS.
DA VEDERE: hacker iraniani colpiscono Israele con un dispositivo di pulizia del disco travestito da ransomware
Nella fase finale, il ransomware recupera un elenco di utenti disponibili sul dispositivo infetto, sovrascrive le loro password con una mega-password ed elimina tutti gli utenti della shell dopo aver creato un nuovo utente con ID "Ferrum" e password "MegPw0rD3", ha scritto I ricercatori di SentinelOne in un post sul blog separato .
