DarkRadiation Ransomware

DarkRadiation er en trussel mod ransomware, der udbredes af cyberkriminelle i en række angreb mod Linux-systemer. Mere specifikt havde trusselsaktørerne til formål at inficere Red Hat, CentOS og Debian-baserede Linux-distributioner. Efter at have fået adgang brugte hackerne en SSH-orm til at bevæge sig lateralt gennem offerets netværk og implementere en trussel mod ransomware ved navn DarkRadiation. Infosec-forskere mener, at truslen er under aktiv udvikling, da de har fundet flere forskellige versioner. Alle viser mindre forskelle i adfærd, hvor nogle også bærer død kode (funktioner, der ikke udføres af truslen) eller kommentarer fra trusselens skabere.

DarkRadiation Ransomware er skrevet i et bash-script og derefter tilsløret via et 'node-bash-obsfucated' open source-værktøj, der er et Node.js CLI-værktøj og bibliotek. Det er designet til at kryptere bash-scripts ved at opdele dem i mindre stykker, der derefter tildeles variable navne. Til gengæld erstattes det originale script med variable referencer. Når den først er leveret til det målrettede system, er DarkRadiation's første opgave at kontrollere root-rettigheder. Uden dem viser ransomware en meddelelse, der siger 'Kør som root' og fjerner sig selv.

Hvis det har de krævede rettigheder, fortsætter DarkRadiation Ransomware med at oprette et øjebliksbillede af de brugere, der aktuelt er logget på Unix-computere via bot_who-funktionen og kommandoen 'hvem'. Resultatet gemmes i en skjult fil i /tmp/.ccw. Fremgangsmåden gentages derefter hvert femte sekund med truslen, der sammenligner det nye øjebliksbillede med den tilstand, der er gemt i filen. Eventuelle uoverensstemmelser, f.eks. Når nye brugere er logget ind, rapporteres til trusselsaktøren via en Telegrams API.

Krypteringsprocessen

DarkRadiation Ransomware anvender OpenSSLs AES-algoritme med CBC-tilstand til at kryptere de filer, der er gemt i flere kataloger på de kompromitterede systemer. Før krypteringsprocessen påbegyndes, udfører truslen dog en anden opgave - den henter en liste over alle brugere på den brudte maskine ved at stille en forespørgsel til '/ etc / shadow / file. Derefter overskriver de eksisterende brugeres adgangskoder med 'megapassword'. DarkRadiation fortsætter med at slette alle brugere med undtagelse af 'Ferrum', en brugerprofil, der er oprettet af selve truslen. Ved at udføre kommandoen 'usermod - shell / bin / nologin' deaktiverer ransomware alle eksisterende shell-brugere. Truslen vil kontakte sin Command-and-Control (C&C) server og se efter tilstedeværelsen af en fil med navnet '0.txt'. Hvis det ikke er der, vil DarkRadiation ikke engagere sin krypteringsproces og i stedet gå i en 60-sekunders dvale, før du prøver igen.

Forskerne bemærkede små forskelle i krypteringsstien, der blev brugt af de opdagede prøver af DarkRadiation. Nogle udførte krypteringen alene, mens andre brugte et separat script kaldet 'crypt_file.sh.' Imidlertid markerede de alle de krypterede filer ved at tilføje et radioaktivt symbol til de originale filnavne som en ny udvidelse. Malwaren stopper eller deaktiverer alle aktuelt aktive Docker-containere, før den genererer en løsesumnote.