DarkRadiation-ransomware
DarkRadiation is een ransomware-bedreiging die door cybercriminelen wordt ingezet in een reeks aanvallen op Linux-systemen. Meer specifiek wilden de dreigingsactoren Red Hat-, CentOS- en Debian-gebaseerde Linux-distributies infecteren. Nadat ze toegang hadden gekregen, gebruikten de hackers een SSH-worm om zich zijdelings door het netwerk van het slachtoffer te bewegen en een ransomware-bedreiging genaamd DarkRadiation in te zetten. Infosec-onderzoekers zijn van mening dat de dreiging actief wordt ontwikkeld, omdat ze meerdere verschillende versies hebben gevonden. Ze vertonen allemaal kleine verschillen in gedrag en sommige bevatten ook dode code (functies die niet worden uitgevoerd door de dreiging) of opmerkingen van de makers van de dreiging.
De DarkRadiation Ransomware is geschreven in een bash-script en vervolgens verduisterd via een 'node-bash-obsfucated' open-source tool die een Node.js CLI-hulpprogramma en -bibliotheek is. Het is ontworpen om bash-scripts door elkaar te gooien door ze op te splitsen in kleinere brokken die vervolgens variabelenamen worden toegewezen. Op zijn beurt wordt het originele script vervangen door variabele verwijzingen. Eenmaal afgeleverd op het beoogde systeem, is de eerste taak van DarkRadiation om te controleren op rootrechten. Zonder deze geeft de ransomware een bericht weer met de melding 'Als root uitvoeren', en verwijdert zichzelf.
Als het de vereiste rechten heeft, gaat de DarkRadiation Ransomware verder met het maken van een momentopname van de gebruikers die momenteel zijn aangemeld op Unix-computers via de bot_who-functie en het 'who'-commando. Het resultaat wordt opgeslagen in een verborgen bestand in /tmp/.ccw. De procedure wordt vervolgens elke vijf seconden herhaald, waarbij de dreiging de nieuwe momentopname vergelijkt met de status die in het bestand is opgeslagen. Eventuele discrepanties, zoals het inloggen van nieuwe gebruikers, worden via een Telegrams-API aan de dreigingsactor gemeld.
Het versleutelingsproces
De DarkRadiation Ransomware maakt gebruik van OpenSSL's AES-algoritme met CBC-modus om de bestanden te versleutelen die zijn opgeslagen in verschillende mappen op de aangetaste systemen. Voordat het versleutelingsproces wordt gestart, voert de dreiging echter nog een andere taak uit: het haalt een lijst op van alle gebruikers op de gehackte computer door een query uit te voeren naar het '/etc/shadow/-bestand. Het zal dan de wachtwoorden van de bestaande gebruikers overschrijven met 'megapassword'. DarkRadiation gaat verder met het verwijderen van alle gebruikers, met uitzondering van 'Ferrum', een gebruikersprofiel dat door de dreiging zelf wordt aangemaakt. Door de opdracht 'usermod --shell /bin/nologin' uit te voeren, schakelt de ransomware alle bestaande shell-gebruikers uit. De dreiging zal contact opnemen met zijn Command-and-Control (C&C)-server en zoeken naar de aanwezigheid van een bestand met de naam '0.txt'. Als het er niet is, zal DarkRadiation het coderingsproces niet inschakelen en in plaats daarvan een slaapstand van 60 seconden ingaan voordat het opnieuw wordt geprobeerd.
De onderzoekers merkten kleine verschillen op in het coderingspad dat werd gebruikt door de gedetecteerde monsters van DarkRadiation. Sommigen voerden de codering zelf uit, terwijl anderen een apart script gebruikten met de naam 'crypt_file.sh'. Ze hebben echter allemaal de versleutelde bestanden gemarkeerd door een radioactief symbool toe te voegen aan de originele bestandsnamen als een nieuwe extensie. De malware zal alle momenteel actieve Docker-containers stoppen of uitschakelen voordat de losgeldbrief wordt gegenereerd.
