Программа-вымогатель DarkRadiation

DarkRadiation - это программа-вымогатель, которую киберпреступники используют в серии атак на системы Linux. В частности, злоумышленники стремились заразить Red Hat, CentOS и дистрибутивы Linux на основе Debian. Получив доступ, хакеры использовали червя SSH для горизонтального перемещения по сети жертвы и развертывания угрозы вымогателя под названием DarkRadiation. Исследователи Infosec считают, что угроза находится в стадии активной разработки, поскольку они обнаружили несколько различных версий. Все они демонстрируют незначительные различия в поведении, некоторые также содержат мертвый код (функции, которые не выполняются угрозой) или комментарии создателей угрозы.

Программа-вымогатель DarkRadiation написана в сценарии bash, а затем обфусцирована с помощью инструмента с открытым исходным кодом 'node-bash-obsfucated', который является утилитой и библиотекой CLI Node.js. Он предназначен для шифрования сценариев bash путем разделения их на более мелкие части, которым затем присваиваются имена переменных. В свою очередь, исходный сценарий заменяется ссылками на переменные. После доставки в целевую систему первая задача DarkRadiation - проверить наличие привилегий root. Без них программа-вымогатель отображает сообщение «Запустите от имени пользователя root» и удаляется.

Если у него есть необходимые привилегии, программа-вымогатель DarkRadiation продолжит создание снимков пользователей, которые в настоящее время вошли на компьютеры Unix с помощью функции bot_who и команды «who». Результат сохраняется в скрытом файле в /tmp/.ccw. Затем процедура будет повторяться каждые пять секунд, при этом угроза будет сравнивать новый моментальный снимок с состоянием, сохраненным в файле. О любых несоответствиях, например о том, что новые пользователи вошли в систему, будет сообщаться злоумышленнику через Telegrams API.

Процесс шифрования

Программа-вымогатель DarkRadiation использует алгоритм OpenSSL AES в режиме CBC для шифрования файлов, хранящихся в нескольких каталогах на скомпрометированных системах. Однако перед запуском процесса шифрования угроза выполняет другую задачу - получает список всех пользователей на взломанной машине, выполняя запрос к файлу / etc / shadow / file. Затем он перезапишет пароли существующих пользователей с помощью «мегапароль». DarkRadiation удаляет всех пользователей, за исключением «Ferrum», профиля пользователя, созданного самой угрозой. Выполняя команду usermod --shell / bin / nologin, вымогатель отключает всех существующих пользователей оболочки. Угроза свяжется с ее сервером управления и контроля (C&C) и будет искать файл с именем «0.txt». Если его там нет, DarkRadiation не будет задействовать процесс шифрования и вместо этого перейдет в 60-секундный сон перед повторной попыткой.

Исследователи заметили небольшие различия в пути шифрования, используемом обнаруженными образцами DarkRadiation. Некоторые выполняли шифрование самостоятельно, в то время как другие использовали отдельный сценарий под названием crypt_file.sh. Однако все они помечали зашифрованные файлы, добавляя радиоактивный символ к исходным именам файлов в качестве нового расширения. Вредоносная программа остановит или отключит все активные в настоящее время контейнеры Docker, прежде чем генерировать записку с требованием выкупа.