Výzkumníci z Trend Micro informují o novém ransomware DarkRadiation, který je velmi neobvyklý a cílí na uživatele distribucí Debian a Red Hat / CentOS (a jistě tudíž i např. Rocky Linux). Zajímavé je zejména to, že jádro projektu DarkRadiation je napsáno v Bashi a z tohoto důvodu jej většina bezpečnostních programů není schopná detekovat jako hrozbu.
Hlavním cílem DarkRadiation jsou linuxové, resp. dockerové cloudové kontejnery, takže lze říci, že ransomware primárně cílí na enterprise segment. K inicializaci komunikace s vlastním serverem pak používá Telegram. K zašifrování obsahu rozličných adresářů či souborů používá algoritmus AES z OpenSSL v CBC režimu a následně již zmíněné Telegram API k posílání informací o infekci daného systému autorovi.
Ransomware byl poprvé zjištěn v závěru května, poté jej v Trend Micro analyzovali. K infikování používá víceúrovňovou soustavu bashových skriptů a natvrdo uložené API klíče pro komunikaci s telegramovými boty. Mezi závislostmi skriptů jsou nástroje jako curl, wget, OpenSSL, sshpass či pssh, které si umí v případě potřeby stáhnout a upravit pomocí YUM/Yellowdog Updateru.
Po napadení daného zařízení ransomware nakonec získá seznam všech uživatelů, přepíše jejich hesla pomocí svého, následně vymaže všechny uživatele shellu, kdy si předtím vytvoří vlastního uživatele Ferrum s heslem MegPw0rD3. Podrobnosti k dispozici na SentinelOne.
