Wormable DarkRadiation Ransomware Menargetkan Instans Linux dan Docker

  • Whatsapp
Wormable DarkRadiation Ransomware Menargetkan Instans Linux dan Docker

Peneliti keamanan siber telah mengungkapkan jenis ransomware baru yang disebut “Radiasi Gelap” yang diimplementasikan sepenuhnya di Bash dan menargetkan wadah cloud Linux dan Docker, sementara perbankan pada layanan pesan Telegram untuk komunikasi command-and-control (C2).

“Ransomware ditulis dalam Pesta skrip dan menargetkan distribusi Red Hat/CentOS dan Debian Linux,” peneliti dari Trend Micro berkata dalam laporan yang diterbitkan minggu lalu. Malware ini menggunakan algoritma AES OpenSSL dengan mode CBC untuk mengenkripsi file di berbagai direktori. Malware ini juga menggunakan API Telegram untuk mengirim status infeksi ke pelaku ancaman.”

Bacaan Lainnya

Tim Stack Overflow

Pada saat penulisan, tidak ada informasi yang tersedia tentang metode pengiriman atau bukti bahwa ransomware telah digunakan dalam serangan di dunia nyata.

Temuan berasal dari analisis kumpulan alat peretasan yang dihosting di infrastruktur aktor ancaman tak dikenal (alamat IP “185.141.25.168”) di direktori bernama “api_attack.” Toolset ini pertama kali diperhatikan oleh pengguna Twitter @r3dbU7z pada 28 Mei.

Rantai infeksi DarkRadiation melibatkan proses serangan multi-tahap dan patut diperhatikan karena ketergantungannya yang luas pada skrip Bash untuk mengambil malware dan mengenkripsi file serta Telegram API untuk berkomunikasi dengan server C2 melalui kunci API yang di-hardcode.

Proses Enkripsi

Dikatakan sedang dalam pengembangan aktif, ransomware memanfaatkan taktik kebingungan untuk mengacak skrip Bash menggunakan alat sumber terbuka yang disebut “simpul-bash-mengaburkan” untuk membagi kode menjadi beberapa bagian, diikuti dengan menetapkan nama variabel untuk setiap segmen dan mengganti skrip asli dengan referensi variabel.

Setelah dieksekusi, DarkRadiation memeriksa apakah itu dijalankan sebagai pengguna root, dan jika demikian, menggunakan izin yang lebih tinggi untuk mengunduh dan menginstal dapatkan, keriting, dan OpenSSL perpustakaan, dan mengambil snapshot berkala dari pengguna yang saat ini masuk ke sistem komputer Unix menggunakan perintah “siapa” setiap lima detik, yang hasilnya kemudian dieksfiltrasi ke server yang dikendalikan penyerang menggunakan API Telegram.

Mencegah Serangan Ransomware

“Jika salah satu dari ini tidak tersedia pada perangkat yang terinfeksi, malware mencoba mengunduh alat yang diperlukan menggunakan YUM (Yellowdog Updater, Modified), pengelola paket berbasis python yang banyak diadopsi oleh distro Linux populer seperti RedHat dan CentOS,” SentinelOne peneliti dijelaskan dalam sebuah tulisan yang diterbitkan Senin.

Ransomware, pada fase terakhir infeksi, mengambil daftar semua pengguna yang tersedia di sistem yang disusupi, menimpa kata sandi pengguna yang ada dengan “megapassword”, dan menghapus semua pengguna shell, tetapi tidak sebelum membuat pengguna baru dengan nama pengguna “ferrum”. ” dan password “MegPw0rD3” untuk melanjutkan proses enkripsi.

Fungsi Penyebaran Seperti Cacing

Menariknya, analisis SentinelOne mengungkapkan variasi yang berbeda di mana kata sandi untuk “ferrum” pengguna diunduh dari server C2 penyerang dalam beberapa versi, sementara di versi lain, kata sandi dikodekan dengan string seperti “$MeGaPass123#,” menyiratkan bahwa malware sedang perubahan cepat sebelum penerapan yang sebenarnya.

“Harus dicatat bahwa ransomware menambahkan simbol radioaktif (‘.☢’) sebagai ekstensi file untuk file terenkripsi,” kata peneliti ancaman Trend Micro Aliakbar Zahravi.

Bagian bergerak kedua yang terkait dengan serangan tersebut adalah worm SSH yang direkayasa untuk menerima konfigurasi kredensial dalam bentuk parameter yang dikodekan base64 yang digunakan untuk terhubung ke sistem target menggunakan protokol SSH dan akhirnya mengunduh dan mengeksekusi ransomware.

Selain melaporkan status eksekusi, bersama dengan kunci enkripsi, kembali ke saluran Telegram musuh melalui API, DarkRadiation juga dilengkapi dengan kemampuan untuk menghentikan dan menonaktifkan semua kontainer Docker yang berjalan di mesin yang terinfeksi, setelah itu catatan tebusan ditampilkan ke pengguna.

“Malware yang ditulis dalam bahasa skrip shell memungkinkan penyerang menjadi lebih fleksibel dan menghindari beberapa metode deteksi umum,” kata peneliti SentinelOne.

“Karena skrip tidak perlu dikompilasi ulang, skrip dapat diulang lebih cepat. Selain itu, karena beberapa perangkat lunak keamanan bergantung pada tanda tangan file statis, ini dapat dengan mudah dihindari melalui iterasi cepat dan penggunaan alat obfuscator sederhana untuk menghasilkan skrip yang sama sekali berbeda. file.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *