DarkRadiation Ransomware

O DarkRadiation é uma ameaça de ransomware implantada por cibercriminosos em uma série de ataques contra sistemas Linux. Mais especificamente, os agentes de ameaça visavam infectar Red Hat, CentOS e distribuições Linux baseadas no Debian. Depois de obter acesso, os hackers usaram um worm SSH para se mover lateralmente pela rede da vítima e implantar uma ameaça de ransomware chamada DarkRadiation. Os pesquisadores de Infosec acreditam que a ameaça está em desenvolvimento ativo, pois encontraram várias versões diferentes. Todos exibem pequenas diferenças de comportamento, alguns com código morto (funções que não são executadas pela ameaça) ou comentários dos criadores da ameaça.

O DarkRadiation Ransomware é escrito em um script bash e, em seguida, ofuscado por meio de uma ferramenta de código aberto 'node-bash-obsfucated' que é um utilitário e biblioteca CLI Node.js. Ele é projetado para embaralhar scripts bash dividindo-os em pedaços menores que recebem nomes de variáveis. Por sua vez, o script original é substituído por referências de variáveis. Uma vez entregue ao sistema de destino, a primeira tarefa do DarkRadiation é verificar os privilégios de root. Sem eles, o ransomware exibe uma mensagem dizendo 'Execute como root' e remove a si mesmo.

Se tiver os privilégios necessários, o DarkRadiation Ransomware continuará a criar um instantâneo dos usuários atualmente conectados em computadores Unix por meio da função bot_who e do comando 'quem'. O resultado é salvo em um arquivo oculto em/tmp/.ccw. O procedimento será repetido a cada cinco segundos com a ameaça comparando o novo instantâneo com o estado salvo no arquivo. Qualquer discrepância, como o login de novos usuários, será relatada ao agente da ameaça por meio de uma API do Telegrams.

O Processo de Criptografia

O DarkRadiotion Ransomware emprega o algoritmo AES do OpenSSL com modo CBC para criptografar os arquivos armazenados em vários diretórios nos sistemas comprometidos. No entanto, antes de o processo de criptografia ser iniciado, a ameaça executa outra tarefa - ela recupera uma lista de todos os usuários na máquina violada fazendo uma consulta ao arquivo '/etc/shadow/. Em seguida, ele substituirá as senhas dos usuários existentes com 'megassenha'. O DarkRadiotion elimina todos os usuários, exceto 'Ferrum', um perfil de usuário criado pela própria ameaça. Ao executar o comando 'usermod --shell/bin/nologin', o ransomware desativa todos os usuários de shell existentes. A ameaça entrará em contato com seu servidor de Comando-e-Controle (C&C) e procurará a presença de um arquivo chamado '0.txt.' Se não estiver lá, DarkRadiation não ativará seu processo de criptografia e, em vez disso, entrará em hibernação por 60 segundos antes de tentar novamente.

Os pesquisadores notaram pequenas diferenças no caminho de criptografia usado pelas amostras detectadas de DarkRadiation. Alguns executaram a criptografia por si próprios, enquanto outros empregaram um script separado chamado 'crypt_file.sh.' No entanto, todos eles marcaram os arquivos criptografados anexando um símbolo radioativo aos nomes dos arquivos originais como uma nova extensão. O malware irá parar ou desativar todos os contêineres do Docker ativos no momento antes de gerar sua nota de resgate.