Hlavní navigace

Ransomware DarkRadiation používá Bash a cílí na Debian a Red Hat / CentOS

Sdílet

David Ježek 30. 6. 2021
Bash krev

Výzkumníci z Trend Micro informují o novém ransomware DarkRadiation, který je velmi neobvyklý a cílí na uživatele distribucí Debian a Red Hat / CentOS (a jistě tudíž i např. Rocky Linux). Zajímavé je zejména to, že jádro projektu DarkRadiation je napsáno v Bashi a z tohoto důvodu jej většina bezpečnostních programů není schopná detekovat jako hrozbu.

Hlavním cílem DarkRadiation jsou linuxové, resp. dockerové cloudové kontejnery, takže lze říci, že ransomware primárně cílí na enterprise segment. K inicializaci komunikace s vlastním serverem pak používá Telegram. K zašifrování obsahu rozličných adresářů či souborů používá algoritmus AES z OpenSSL v CBC režimu a následně již zmíněné Telegram API k posílání informací o infekci daného systému autorovi.

Ransomware byl poprvé zjištěn v závěru května, poté jej v Trend Micro analyzovali. K infikování používá víceúrovňovou soustavu bashových skriptů a natvrdo uložené API klíče pro komunikaci s telegramovými boty. Mezi závislostmi skriptů jsou nástroje jako curl, wget, OpenSSL, sshpass či pssh, které si umí v případě potřeby stáhnout a upravit pomocí YUM/Yellowdog Updateru.

Po napadení daného zařízení ransomware nakonec získá seznam všech uživatelů, přepíše jejich hesla pomocí svého, následně vymaže všechny uživatele shellu, kdy si předtím vytvoří vlastního uživatele Ferrum s heslem MegPw0rD3. Podrobnosti k dispozici na SentinelOne.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.