Red Hat, Debian e CentOS na mira do DarkRadiation ransomware

Red Hat, Debian e CentOS na mira do DarkRadiation ransomware

Ameaça está detalhada em relatório da Trend Micro e utiliza API do Telegram para comunicação com os servidores de C&C

s pesquisadores da Trend Micro publicaram um relatório detalhado sobre um novo ransomware, chamado por enquanto de DarkRadiation, inteiramente construído como um script do ‘bash’ (um dos terminais do Linux), focado em ataques a variadas versões do Linux – especialmente distribuições de Red Hat, CentOS e Debian. Os pesquisadores dizem que os scripts aparentemente ainda estão em desenvolvimento: “Os scripts de worm e ransomware também usam a API do aplicativo de mensagens Telegram para comunicação de comando e controle (C&C). Também descobrimos que a maioria dos componentes desse ataque tem números de detecção muito baixos no Virus Total. O URL das ferramentas de hack com as informações do ransomware foi relatado inicialmente pelo usuário do Twitter @ r3dbU7z”.

Alguns desses scripts são baseados em código-fonte aberto, diz o relatório: “Por exemplo, o ‘binaryinject1.so‘ é uma versão modificada de um rootkit chamado “libprocesshider”, que oculta um processo no Linux usando o pré-carregador ld e “pwd.c” (“CVE-2017-1000253.c”), que está disponível publicamente exploit para duas versões do kernel CentOS.

São scripts distintos, para os diferentes “sabores” do Linux, que os pesquisadores examinaram num diretório localizado por eles na web: “Dentre todas essas ferramentas, o conteúdo de “api_attack /” chamou nossa atenção. O diretório “api_attack” contém as várias versões do ransomware Bash que chamamos de DarkRadiation, bem como o worm SSH que é responsável por espalhar esse ransomware. O script “Supermicro_cr_third” neste diretório parece ser a versão mais completa do ransomware. Este script é ofuscado com uma ferramenta de código aberto chamada “node-bash-obfuscate”, que é uma ferramenta CLI Node.js e biblioteca para ofuscar scripts bash”.

Havia outros elementos notáveis ​​também, segundo os pesquisadores: “O malware também para e desativa todos os contêineres do Docker em execução em um sistema infectado e cria uma nota de resgate. O ransomware pode excluir todos os usuários em um sistema infectado (embora em algumas variantes mantenha o usuário root) e pode criar uma conta apenas para o invasor. Quanto à criptografia de arquivos, o ransomware usa o algoritmo AES do OpenSSL para criptografar o arquivo com extensões específicas ou todos os arquivos em um determinado diretório”.

 

Fonte: https://www.cisoadvisor.com.br/red-hat-debian-e-centos-na-mira-do-darkradiation-ransomware/