[English]Eine DarkRadiation genannte Ransomware zielt auf Linux-Systeme von Red Hat, CentOS oder Debian-basierende Distributionen. Darauf weist Sicherheitsanbieter Trend Micro in einem neuen Blog-Beitrag hin. Die Malware verwendet dabei Tools, um die Umgebung zu erkennen und sich dann per Spreader-Script lateral in Netzwerken zu verbreiten.
Anzeige
Ich bin über nachfolgenden Tweet von Trend Micro auf den Sachverhalt aufmerksam geworden. Das Ganze wird in diesem Trend Micro Blog-Beitrag Bash Ransomware DarkRadiation Targets Red Hat- and Debian-based Linux Distributions detaillierter erläutert.
Die kürzlich entdeckte Bash-Ransomware weckte gleich in mehrfacher Hinsicht das Interesse der Trend Micro Sicherheitsforscher. Dann als die Sicherheitsanalysten die Ransomware untersuchten, stellten sie fest, dass die Angriffskette vollständig als Bash-Skript implementiert ist. Die Forscher vermuten aber, dass die Skripte noch in der Entwicklung sind.
Die meisten Komponenten dieser Schadsoftware zielen hauptsächlich auf die Linux-Distributionen Red Hat und CentOS ab. Die Sicherheitsforscher haben aber in einigen Skripten Hinweise auf die Unterstützung von Debian-basierte Linux-Distributionen gefunden.
Die Wurm- und Ransomware-Skripte nutzen außerdem die API der Messaging-Anwendung Telegram für die Command-and-Control (C&C)-Kommunikation. Zudem haben die Trend Micro-Sicherheitsforscher festgestellt, dass die meisten Komponenten dieses Angriffs eine sehr niedrige Erkennungsrate in Virus Total haben. Die URL mit den Ransomware-Informationen und den Hack-Tools wurde ursprünglich vom Twitter-Benutzer @r3dbU7z gemeldet.
Anzeige
Die Malware verwendet den AES-Algorithmus von OpenSSL mit CBC-Modus, um Dateien in verschiedenen Verzeichnissen zu verschlüsseln. Eine detaillierte Analyse der Malware findet sich im Blog-Beitrag von Trend Micro.
Anzeige
Trotz lesens des TM-Links habe ich immer noch keine Ahnung wie man sich den nun Einfängt? SSH-Bruteforce? ZeroDay-Lücke? Ist ja interessant was er dann so alles kann aber mit Rootrechten geht das wohl auch alles einfacher ;-) .
Falsche Frage. Die Ransomware ist der Payload, nicht der Infektionsweg. Wie man sich diese einfängt ist davon vollkommen entkoppelt und wird ständig verändert. Wenn morgen eine Sicherheitslücke in Apache entdeckt wird, die Remote ausnutzbar ist, wird die Ransomware eben damit ausgeliefert. Wenn eine in einem PHP-Board auftaucht, dann halt damit. Und wenn ein Weg gefunden wird dich dazu zu bringen das Script selbst in der Shell auszuführen, dann gehen die Gauner eben diesen Weg.
Wieder so eine angebliche Schadsoftware für GNU/Linux, für die es natürlich keinen Infektionsweg gibt. Diese elendig verlogenen Hersteller von Antivirenprogrammen, werden offenbar niemals müde von surrealen Bedrohungen zu schwadronieren, die es zu 99% praktisch nur unter Windows gibt. Und nur dort haben diese einen echten Erfolg. Zudem ist es keine Herausforderung eine Schadsoftware mittels Bash zu schreiben, die auf Basis von GnuPG, OpenSSL oder sonstigem mal eben alles verschlüsselt. Hab selbst schon derartiges in Bash und Python geschrieben. Nur das nutzt alles nichts, wenn man so ein Shellscript weder auf ein System noch zur Ausführung bringen kann.