DarkRadiation ransomware

DarkRadiation è una minaccia ransomware distribuita dai criminali informatici in una serie di attacchi contro i sistemi Linux. Più specificamente, gli attori delle minacce miravano a infettare le distribuzioni Linux basate su Red Hat, CentOS e Debian. Dopo aver ottenuto l'accesso, gli hacker hanno utilizzato un worm SSH per spostarsi lateralmente attraverso la rete della vittima e distribuire una minaccia ransomware denominata DarkRadiation. I ricercatori di Infosec ritengono che la minaccia sia in fase di sviluppo attivo, poiché hanno trovato più versioni diverse. Tutti mostrano piccole differenze di comportamento con alcuni che contengono anche codice morto (funzioni che non vengono eseguite dalla minaccia) o commenti da parte dei creatori della minaccia.

DarkRadiation Ransomware è scritto in uno script bash e quindi offuscato tramite uno strumento open source "node-bash-obsfucated" che è un'utilità e una libreria della CLI Node.js. È progettato per codificare gli script bash suddividendoli in blocchi più piccoli a cui vengono quindi assegnati nomi di variabili. A sua volta, lo script originale viene sostituito con riferimenti variabili. Una volta consegnato al sistema di destinazione, il primo compito di DarkRadiation è verificare i privilegi di root. Senza di essi, il ransomware visualizza un messaggio che indica "Esegui come root" e si rimuove.

Se dispone dei privilegi richiesti, DarkRadiation Ransomware procederà alla creazione di un'istantanea degli utenti attualmente connessi ai computer Unix tramite la funzione bot_who e il comando 'who'. Il risultato viene salvato in un file nascosto in /tmp/.ccw. La procedura verrà quindi ripetuta ogni cinque secondi con la minaccia che confronta la nuova istantanea con lo stato salvato nel file. Eventuali discrepanze, come l'accesso di nuovi utenti, verranno segnalate all'autore della minaccia tramite un'API di Telegrams.

Il processo di crittografia

DarkRadiation Ransomware utilizza l'algoritmo AES di OpenSSL con modalità CBC per crittografare i file archiviati in diverse directory sui sistemi compromessi. Tuttavia, prima che il processo di crittografia venga avviato, la minaccia esegue un'altra attività: recupera un elenco di tutti gli utenti sulla macchina violata effettuando una query sul file '/etc/shadow/. Quindi sovrascriverà le password degli utenti esistenti con "megapassword". DarkRadiation procede all'eliminazione di tutti gli utenti ad eccezione di "Ferrum", un profilo utente creato dalla minaccia stessa. Eseguendo il comando 'usermod --shell /bin/nologin', il ransomware disabilita tutti gli utenti shell esistenti. La minaccia contatterà il suo server Command-and-Control (C&C) e cercherà la presenza di un file denominato "0.txt". Se non è presente, DarkRadiation non avvierà il processo di crittografia e entrerà invece in una sospensione di 60 secondi prima di riprovare.

I ricercatori hanno notato lievi differenze nel percorso di crittografia utilizzato dai campioni rilevati di DarkRadiation. Alcuni hanno eseguito la crittografia da soli, mentre altri hanno utilizzato uno script separato chiamato "crypt_file.sh". Tuttavia, tutti hanno contrassegnato i file crittografati aggiungendo un simbolo radioattivo ai nomi dei file originali come nuova estensione. Il malware fermerà o disabiliterà tutti i contenitori Docker attualmente attivi prima di generare la sua richiesta di riscatto.