Эксперты предупредили о новом вымогателе DarkRadiation

Эксперты предупредили о новом вымогателе DarkRadiation

Alexander Antipov

Вредонос разработан для атак на дистрибутивы Linux.

image

Исследователи в области кибербезопасности из компании Trend Micro предупредили о новом вымогательском ПО под названием DarkRadiation. Вредонос разработан для атак на дистрибутивы Red Hat/CentOS, Debian Linux. Для связи с C&C-сервером злоумышленники используют мессенджер Telegram.

Вредоносная программа использует симметричный алгоритм блочного шифрования AES (Advanced Encryption Standard) с режимом CBC для шифрования файлов в различных каталогах. В настоящее время неизвестно о методах распространения вредоноса и нет свидетельств того, что программа-вымогатель использовалась в реальных атаках.

Информация была получена в результате анализа набора хакерских инструментов, размещенных в инфраструктуре неопознанного злоумышленника в каталоге api_attack. Папка api_attack содержала несколько версий DarkRadiation и SSH-червя (downloader.sh), отвечающего за распространение вредоноса

Программа-вымогатель находится на стадии активной разработки, с целью обфускации использует инструмент с открытым исходным кодом node-bash-obfuscate, позволяющий разбить код на несколько фрагментов с последующим присвоением имени переменной каждому сегменту и заменой исходного скрипта со ссылками на переменные.

DarkRadiation проверяет, был ли он запущен с правами суперпользователя, и использует повышенные разрешения для загрузки и установки библиотек Wget, cURL и OpenSSL. ПО также периодически собирает информацию о пользователях, авторизованных в системе Unix, используя команду «who» каждые пять секунд. Данные затем передаются на контролируемый злоумышленником сервер с помощью Telegram API.

На последней стадии атаки вредонос создает список всех доступных пользователей на скомпрометированной системе, перезаписывает существующие пароли с помощью megapassword и удаляет всех пользователей оболочки, перед этим создав нового пользователя ferrum и пароль MegPw0rD3 для продолжения процесса шифрования.

DarkRadiation также отключает все запущенные контейнеры Docker на зараженной системе и создает записку с требованием выкупа. Как отметили эксперты, программа-вымогатель добавляет радиоактивные символы (.☢) в качестве расширения для зашифрованного файла.

DarkRadiation содержит функцию install_tools для загрузки и установки необходимых утилит на зараженной системе, если они еще не установлены. Червь загружает и устанавливает только необходимые пакеты для дистрибутива Linux на базе CentOS или RHEL, поскольку он использует только менеджер пакетов Yellowdog Updater, Modified (YUM).


Хакеры похитили сотни тысяч долларов, выдавая себя за создателей NFT, в Китае арестовали более 1000 киберпреступников, половину компаний после уплаты выкупа атакуют те же хакеры, а новый ИИ-инструмент может точно подделать любой текст. Смотрите 22 выпуск в нашем Youtube канале


Источник: Securitylab