DarkRadiation Ransomware zielt auf Linux (Red Hat, Debian & Co.)

Sicherheit (Pexels, allgemeine Nutzung)[English]Eine DarkRadiation genannte Ransomware zielt auf Linux-Systeme von Red Hat, CentOS oder Debian-basierende Distributionen. Darauf weist Sicherheitsanbieter Trend Micro in einem neuen Blog-Beitrag hin. Die Malware verwendet dabei Tools, um die Umgebung zu erkennen und sich dann per Spreader-Script lateral in Netzwerken zu verbreiten.


Anzeige

Ich bin über nachfolgenden Tweet von Trend Micro auf den Sachverhalt aufmerksam geworden. Das Ganze wird in diesem Trend Micro Blog-Beitrag Bash Ransomware DarkRadiation Targets Red Hat- and Debian-based Linux Distributions detaillierter erläutert.

DarkRadiation Ransomware

Die kürzlich entdeckte Bash-Ransomware weckte gleich in mehrfacher Hinsicht das Interesse der Trend Micro Sicherheitsforscher. Dann als die Sicherheitsanalysten die Ransomware untersuchten, stellten sie fest, dass die Angriffskette vollständig als Bash-Skript implementiert ist. Die Forscher vermuten aber, dass die Skripte noch in der Entwicklung sind.

Die meisten Komponenten dieser Schadsoftware zielen hauptsächlich auf die Linux-Distributionen Red Hat und CentOS ab. Die Sicherheitsforscher haben aber in einigen Skripten Hinweise auf die Unterstützung von Debian-basierte Linux-Distributionen gefunden.

Die Wurm- und Ransomware-Skripte nutzen außerdem die API der Messaging-Anwendung Telegram für die Command-and-Control (C&C)-Kommunikation. Zudem haben die Trend Micro-Sicherheitsforscher festgestellt, dass die meisten Komponenten dieses Angriffs eine sehr niedrige Erkennungsrate in Virus Total haben. Die URL mit den Ransomware-Informationen und den Hack-Tools wurde ursprünglich vom Twitter-Benutzer @r3dbU7z gemeldet.

Die Malware verwendet den AES-Algorithmus von OpenSSL mit CBC-Modus, um Dateien in verschiedenen Verzeichnissen zu verschlüsseln. Eine detaillierte Analyse der Malware findet sich im Blog-Beitrag von Trend Micro.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Linux, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu DarkRadiation Ransomware zielt auf Linux (Red Hat, Debian & Co.)

  1. Stefan sagt:

    Trotz lesens des TM-Links habe ich immer noch keine Ahnung wie man sich den nun Einfängt? SSH-Bruteforce? ZeroDay-Lücke? Ist ja interessant was er dann so alles kann aber mit Rootrechten geht das wohl auch alles einfacher ;-) .

    • Kommentator sagt:

      Falsche Frage. Die Ransomware ist der Payload, nicht der Infektionsweg. Wie man sich diese einfängt ist davon vollkommen entkoppelt und wird ständig verändert. Wenn morgen eine Sicherheitslücke in Apache entdeckt wird, die Remote ausnutzbar ist, wird die Ransomware eben damit ausgeliefert. Wenn eine in einem PHP-Board auftaucht, dann halt damit. Und wenn ein Weg gefunden wird dich dazu zu bringen das Script selbst in der Shell auszuführen, dann gehen die Gauner eben diesen Weg.

  2. Nick sagt:

    Wieder so eine angebliche Schadsoftware für GNU/Linux, für die es natürlich keinen Infektionsweg gibt. Diese elendig verlogenen Hersteller von Antivirenprogrammen, werden offenbar niemals müde von surrealen Bedrohungen zu schwadronieren, die es zu 99% praktisch nur unter Windows gibt. Und nur dort haben diese einen echten Erfolg. Zudem ist es keine Herausforderung eine Schadsoftware mittels Bash zu schreiben, die auf Basis von GnuPG, OpenSSL oder sonstigem mal eben alles verschlüsselt. Hab selbst schon derartiges in Bash und Python geschrieben. Nur das nutzt alles nichts, wenn man so ein Shellscript weder auf ein System noch zur Ausführung bringen kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.