DarkRadiation Ransomware

डार्करेडिएशन एक रैंसमवेयर खतरा है जो साइबर अपराधियों द्वारा लिनक्स सिस्टम के खिलाफ हमलों की एक श्रृंखला में तैनात किया गया है। अधिक विशेष रूप से, रेड हैट, सेंटोस, और डेबियन-आधारित लिनक्स वितरणों को संक्रमित करने के उद्देश्य से खतरे वाले अभिनेता। पहुंच प्राप्त करने के बाद, हैकर्स ने पीड़ित के नेटवर्क के माध्यम से आगे बढ़ने के लिए एक SSH वर्म का उपयोग किया और डार्करेडिएशन नामक रैंसमवेयर खतरे को तैनात किया। इन्फोसेक के शोधकर्ताओं का मानना है कि खतरा सक्रिय रूप से विकसित हो रहा है, क्योंकि उन्हें कई अलग-अलग संस्करण मिले हैं। सभी व्यवहार में मामूली अंतर प्रदर्शित करते हैं, कुछ में डेड कोड (ऐसे कार्य जो खतरे से निष्पादित नहीं होते हैं) या खतरे के रचनाकारों द्वारा टिप्पणी करते हैं।

डार्करेडिएशन रैनसमवेयर एक बैश स्क्रिप्ट में लिखा गया है और फिर एक 'नोड-बैश-ऑब्सफ्यूकेटेड' ओपन-सोर्स टूल के माध्यम से बाधित किया गया है जो एक Node.js CLI उपयोगिता और लाइब्रेरी है। इसे बैश स्क्रिप्ट को छोटे-छोटे टुकड़ों में विभाजित करके तैयार किया गया है, जिन्हें बाद में चर नाम दिए गए हैं। बदले में, मूल स्क्रिप्ट को परिवर्तनशील संदर्भों से बदल दिया जाता है। एक बार लक्षित सिस्टम तक पहुंचने के बाद, डार्करेडिएशन का पहला काम रूट विशेषाधिकारों की जांच करना है। उनके बिना, रैंसमवेयर 'कृपया रूट के रूप में चलाएं' बताते हुए एक संदेश प्रदर्शित करता है और खुद को हटा देता है।

यदि इसके पास आवश्यक विशेषाधिकार हैं, तो DarkRadiation Ransomware bot_who फ़ंक्शन और 'who' कमांड के माध्यम से यूनिक्स कंप्यूटर पर वर्तमान में लॉग इन किए गए उपयोगकर्ताओं का एक स्नैपशॉट बनाने के लिए आगे बढ़ेगा। परिणाम /tmp/.ccw में एक छिपी हुई फ़ाइल में सहेजा जाता है। फ़ाइल में सहेजी गई स्थिति के साथ नए स्नैपशॉट की तुलना करने के खतरे के साथ प्रक्रिया को हर पांच सेकंड में दोहराया जाएगा। नए उपयोगकर्ताओं के लॉग इन होने जैसी किसी भी विसंगति की सूचना टेलीग्राम एपीआई के माध्यम से धमकी देने वाले को दी जाएगी।

एन्क्रिप्शन प्रक्रिया

डार्करेडिएशन रैनसमवेयर ओपनएसएसएल के एईएस एल्गोरिथम को सीबीसी मोड के साथ काम करता है ताकि समझौता किए गए सिस्टम पर कई निर्देशिकाओं में संग्रहीत फाइलों को एन्क्रिप्ट किया जा सके। हालांकि, एन्क्रिप्शन प्रक्रिया शुरू होने से पहले, खतरा एक और कार्य करता है - यह '/etc/shadow/ file. इसके बाद यह मौजूदा उपयोगकर्ताओं के पासवर्ड को 'मेगापासवर्ड' से अधिलेखित कर देगा। डार्करेडिएशन 'फेरम' के अपवाद के साथ सभी उपयोगकर्ताओं को हटाने के लिए आगे बढ़ता है, एक उपयोगकर्ता प्रोफ़ाइल जो खतरे से ही बनाई जाती है। 'usermod --shell/bin/nologin' कमांड को निष्पादित करके, रैंसमवेयर सभी मौजूदा शेल उपयोगकर्ताओं को निष्क्रिय कर देता है। खतरा इसके कमांड-एंड-कंट्रोल (C&C) सर्वर से संपर्क करेगा और '0.txt' नामक फ़ाइल की उपस्थिति की तलाश करेगा। यदि यह नहीं है, तो DarkRadiation अपनी एन्क्रिप्शन प्रक्रिया को शामिल नहीं करेगा और इसके बजाय फिर से प्रयास करने से पहले 60-सेकंड की नींद में प्रवेश करेगा।

शोधकर्ताओं ने डार्करेडिएशन के खोजे गए नमूनों द्वारा उपयोग किए जाने वाले एन्क्रिप्शन पथ में मामूली अंतर देखा। कुछ ने एन्क्रिप्शन स्वयं किया, जबकि अन्य ने 'crypt_file.sh' नामक एक अलग स्क्रिप्ट का उपयोग किया। हालांकि, उन सभी ने मूल फ़ाइल नामों में एक नए एक्सटेंशन के रूप में एक रेडियोधर्मी प्रतीक जोड़कर एन्क्रिप्टेड फ़ाइलों को चिह्नित किया। मैलवेयर अपने फिरौती नोट को जनरेट करने से पहले वर्तमान में सक्रिय सभी डॉकर कंटेनरों को रोक या अक्षम कर देगा।