Эксперты предупредили о новом вымогателе DarkRadiation

Добавить ссылки
Материал из Викиновостей, свободного источника новостей

23 июня 2021 года

Исследователи в области кибербезопасности из компании Trend Micro предупредили о новом вымогательском ПО под названием DarkRadiation. Вредонос разработан для атак на дистрибутивы Red Hat/CentOS, Debian Linux. Для связи с C&C-сервером злоумышленники используют мессенджер Telegram.

Вредоносная программа использует симметричный алгоритм блочного шифрования AES (Advanced Encryption Standard) с режимом CBC для шифрования файлов в различных каталогах. В настоящее время неизвестно о методах распространения вредоноса и нет свидетельств того, что программа-вымогатель использовалась в реальных атаках.

Информация была получена в результате анализа набора хакерских инструментов, размещенных в инфраструктуре неопознанного злоумышленника в каталоге api_attack. Папка api_attack содержала несколько версий DarkRadiation и SSH-червя (downloader.sh), отвечающего за распространение вредоноса

Программа-вымогатель находится на стадии активной разработки, с целью обфускации использует инструмент с открытым исходным кодом node-bash-obfuscate, позволяющий разбить код на несколько фрагментов с последующим присвоением имени переменной каждому сегменту и заменой исходного скрипта со ссылками на переменные.

DarkRadiation проверяет, был ли он запущен с правами суперпользователя, и использует повышенные разрешения для загрузки и установки библиотек Wget, cURL и OpenSSL. ПО также периодически собирает информацию о пользователях, авторизованных в системе Unix, используя команду «who» каждые пять секунд. Данные затем передаются на контролируемый злоумышленником сервер с помощью Telegram API.

На последней стадии атаки вредонос создает список всех доступных пользователей на скомпрометированной системе, перезаписывает существующие пароли с помощью megapassword и удаляет всех пользователей оболочки, перед этим создав нового пользователя ferrum и пароль MegPw0rD3 для продолжения процесса шифрования.

DarkRadiation также отключает все запущенные контейнеры Docker на зараженной системе и создает записку с требованием выкупа. Как отметили эксперты, программа-вымогатель добавляет радиоактивные символы (.☢) в качестве расширения для зашифрованного файла.

DarkRadiation содержит функцию install_tools для загрузки и установки необходимых утилит на зараженной системе, если они еще не установлены. Червь загружает и устанавливает только необходимые пакеты для дистрибутива Linux на базе CentOS или RHEL, поскольку он использует только менеджер пакетов Yellowdog Updater, Modified (YUM).

Источники[править]

Эта статья содержит материалы из статьи «Эксперты предупредили о новом вымогателе DarkRadiation», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported).
Creative Commons
Creative Commons
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Эксперты_предупредили_о_новом_вымогателе_DarkRadiation&oldid=11292961