Ransomware DarkRadiation
DarkRadiation to zagrożenie ransomware wdrożone przez cyberprzestępców w serii ataków na systemy Linux. Dokładniej, cyberprzestępcy mieli na celu zainfekowanie dystrybucji Linuksa Red Hat, CentOS i Debian. Po uzyskaniu dostępu hakerzy wykorzystali robaka SSH, aby przemieszczać się bocznie przez sieć ofiary i wdrażać zagrożenie ransomware o nazwie DarkRadiation. Badacze Infosec uważają, że zagrożenie jest aktywnie rozwijane, ponieważ znaleźli wiele różnych wersji. Wszystkie wykazują niewielkie różnice w zachowaniu, a niektóre zawierają martwy kod (funkcje, które nie są wykonywane przez zagrożenie) lub komentarze twórców zagrożenia.
Ransomware DarkRadiation jest napisane w skrypcie bash, a następnie zaciemnione za pomocą narzędzia open-source „node-bash-obsfucated”, które jest narzędziem i biblioteką Node.js CLI. Jest przeznaczony do zaszyfrowania skryptów basha poprzez podzielenie ich na mniejsze porcje, którym następnie przypisuje się nazwy zmiennych. Z kolei oryginalny skrypt zostaje zastąpiony odwołaniami do zmiennych. Po dostarczeniu do docelowego systemu pierwszym zadaniem DarkRadiation jest sprawdzenie uprawnień roota. Bez nich ransomware wyświetla komunikat „Uruchom jako root” i usuwa się.
Jeśli posiada wymagane uprawnienia, DarkRadiation Ransomware przystąpi do tworzenia migawki użytkowników aktualnie zalogowanych na komputerach z systemem Unix za pomocą funkcji bot_who i polecenia „who”. Wynik jest zapisywany w ukrytym pliku w /tmp/.ccw. Procedura będzie następnie powtarzana co pięć sekund z zagrożeniem, porównując nową migawkę ze stanem zapisanym w pliku. Wszelkie rozbieżności, takie jak zalogowanie się nowych użytkowników, będą zgłaszane podmiotowi działającemu w ramach zagrożenia za pośrednictwem interfejsu API Telegrams.
Proces szyfrowania
Ransomware DarkRadiation wykorzystuje algorytm AES OpenSSL z trybem CBC do szyfrowania plików przechowywanych w kilku katalogach w zaatakowanych systemach. Jednak przed zainicjowaniem procesu szyfrowania zagrożenie wykonuje inne zadanie - pobiera listę wszystkich użytkowników na naruszonej maszynie, wysyłając zapytanie do pliku '/etc/shadow/. Następnie nadpisze hasła istniejących użytkowników hasłem „megapassword”. DarkRadiation usuwa wszystkich użytkowników z wyjątkiem „Ferrum”, profilu użytkownika utworzonego przez samo zagrożenie. Wykonując polecenie 'usermod --shell /bin/nologin', ransomware wyłącza wszystkich istniejących użytkowników powłoki. Zagrożenie skontaktuje się ze swoim serwerem Command-and-Control (C&C) i poszuka pliku o nazwie „0.txt”. Jeśli go tam nie ma, DarkRadiation nie uruchomi procesu szyfrowania i zamiast tego przejdzie w 60-sekundowy tryb uśpienia przed ponowną próbą.
Badacze zauważyli niewielkie różnice w ścieżce szyfrowania wykorzystywanej przez wykryte próbki DarkRadiation. Niektóre wykonywały szyfrowanie samodzielnie, podczas gdy inne wykorzystywały oddzielny skrypt o nazwie „crypt_file.sh”. Jednak wszyscy oznaczyli zaszyfrowane pliki, dodając symbol radioaktywności do oryginalnych nazw plików jako nowe rozszerzenie. Złośliwe oprogramowanie zatrzyma lub wyłączy wszystkie aktualnie aktywne kontenery Dockera przed wygenerowaniem żądania okupu.