28 jun. 2021

DarkRadiation: ransomware dirigido a distribuciones Red Hat/CentOS y Debian Linux

Investigadores han compartido los hallazgos de una nueva variante de ransomware recientemente identificada denominada DarkRadiation, completamente escrita en Bash, y este aspecto dificulta que la mayoría del software de seguridad lo detecte como una amenaza. El ransomware está dirigido a las distribuciones Red Hat / CentOS y Debian Linux.

El ransomware DarkRadiation no se parece a ninguna otra familia de ransomware. Sus objetivos principales son los contenedores de Linux y Docker Cloud, lo que es particularmente preocupante para las empresas. Además, utiliza Telegram para iniciar la comunicación con su servidor C&C.

El malware utiliza el algoritmo AES de OpenSSL con modo CBC para cifrar archivos en varios directorios. También utiliza la API de Telegram para enviar un estado de infección a los actores de la amenaza y se encuentra ofuscado con node-bash-obfuscate.

El ransomware fue detectado por primera vez por el usuario de Twitter @r3dbU7z el 28 de mayo. Posteriormente, fue analizado por investigadores de TrendMicro y SentinelOne. Se informa que el ransomware se descubrió como parte de una variedad de herramientas de hacking a través de VirusTotal. Las herramientas se alojaron en la infraestructura del actor de amenazas en un directorio titulado "api_attack".

Actualmente, no hay información sobre los métodos de entrega del ransomware o evidencia de ataque, pero, cuando se evaluaron sus diferentes componentes, los investigadores notaron que los desarrolladores quieren usarlo para apuntar a instalaciones de Linux y contenedores de Docker.

La cadena de infección de DarkRadiation es un proceso de varias etapas que comprende un conjunto complejo de scripts Bash y alrededor de seis C&C, todos sin conexión cuando se publicó el informe. El ransomware utiliza API codificadas para comunicarse con los bots de Telegram, y los scripts tienen varias dependencias, como curl, wget, OpenSSL, sshpass y pssh.

DarkRadiation descarga las herramientas necesarias a través de YUM / Yellowdog Updater administrador de paquetes basado en Python utilizado por distribuciones populares de Linux, incluidas RedHat y CentOS.

En la etapa final, el ransomware recupera una lista de usuarios disponibles en el dispositivo infectado, sobrescribe sus contraseñas con una megacontraseña y elimina todos los usuarios de shell después de crear un nuevo usuario con el ID "Ferrum" y la contraseña "MegPw0rD3".

Fuente: HackRead

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!