Aggiornamenti recenti Agosto 9th, 2022 1:45 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi a Coinbase aggirano la 2FA
- Pacchetti malevoli in PyPI
- Cyber attacco rallenta il servizio sanitario nazionale britannico
- Azione legale contro Experian per la sicurezza degli account
- Risolte vulnerabilità nei router Cisco Small Business serie RV
DarkRadiation: il ransomware colpisce sistemi Linux e Docker
Il malware si diffonde come un worm ed è in grado di comunicare con i pirati informatici che lo diffondono utilizzando Telegram.
Sistemi Linux e istanze di Docker nel mirino del nuovo spauracchio nel settore ransomware. Il malware si chiama DarkRadiation e, secondo i ricercatori di Trend Micro, sarebbe ancora in fase di sviluppo e potrebbe quindi riservare nuove sorprese.
Come si legge nel report pubblicato dalla società di sicurezza, DarkRadiation è scritto in Bash e utilizza un set di exploit per compromettere le macchine che prende di mira. Molti di questi, analizzati attraverso VirusTotal, risultano essere sconosciuti alla maggioranza dei software antivirus.
La tecnica di infezione è estremamente complessa e usa tecniche di offuscamento avanzate per nascondere le sue attività. Lo script Bash, per esempio, viene scomposto in diversi frammenti e assegna a ognuno di essi un nome casuale, ricomponendolo poi per l’esecuzione.
La diffusione del malware avviene attraverso SSH, sia utilizzando credenziali sottratte, sia attraverso una tecnica di brute forcing che è in grado di violare i sistemi di autenticazione con credenziali “deboli”.
Una volta avviato lo script, DarkRadiation verifica come prima cosa se ha i privilegi di root e, in caso li abbia, avvia l’installazione di una serie di librerie e inizia a catturare delle istantanee di ogni utente presente sul sistema. Le comunicazioni verso il Server Command and Control sfruttano le API di Telegram.
Prima di avviare la fase di crittazione dei dati sul sistema infetto, il malware recupera un elenco di tutti gli utenti e modifica la loro password con il valore “megapassword”, per poi cancellarli. Crea infine un nuovo utente (ferrum) abbinato alla password “MegPw0rD3”.
Solo a questo punto, DarkRadiation inizia a crittografare i file presenti sulla macchina utilizzando un algoritmo AES OpenSSL basato su cifratura a blocchi.
Insomma: secondo i ricercatori di Trend Micro, il malware rappresenta uno strumento estremamente evoluto, pensato per consentire ai pirati la massima libertà di azione nel movimento laterale in ambienti cloud. Probabilmente ne sentiremo parlare ancora.
Condividi l'articolo
La patch per la falla in SonicWall non aveva risolto tutti i problemi
Cyber attacco all’agenzia atomica della Corea del Sud
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Mitre Engenuity Test: il test impossibile da ignorare Il Mitre lo conoscono tutti: come istituzione, come... -
Acronis: fare cyber security partendo dalla sicurezza del... Acronis è un’azienda che deve buona parte della sua fama... -
Ransomware: le tecniche dei criminali per estorcere denaro Il ransomware è un flagello che sta colpendo le aziende di... -
Ransomware: perché il backup non basta Il ransomware è una tipologia d’attacco di cui... -
Ransomware: le multe, il GDPR e le contromisure Non c’è quasi utente di computer che non abbia sentito...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Attacchi a Coinbase aggirano la 2FA Una nuova campagna di phishing utilizza finte e-mail di... -
Pacchetti malevoli in PyPI Check Point research ha individuato in PyPI, il repository... -
Cyber attacco rallenta il servizio sanitario nazionale... Un attacco al provider di servizi gestiti Advanced sta... -
Azione legale contro Experian per la sicurezza degli Un’azione legale collettiva accusa la multinazionale... -
Risolte vulnerabilità nei router Cisco Small Business... Una serie di vulnerabilità nei router Cisco Small Business...
Attacchi a Coinbase aggirano la 2FA
Una nuova campagna di phishing utilizza finte e-mail di Coinbase... Continua →
Ransomware: la serie
No posts found.