DarkRadiation Ransomware

DarkRadiation är ett hot mot ransomware som används av cyberbrottslingar i en serie attacker mot Linux-system. Mer specifikt syftade hotaktörerna till att infektera Red Hat, CentOS och Debian-baserade Linux-distributioner. Efter att ha fått åtkomst använde hackarna en SSH-mask för att röra sig i sidled genom offrets nätverk och distribuera ett hot mot ransomware som heter DarkRadiation. Infosec-forskare tror att hotet är under aktiv utveckling, eftersom de har hittat flera olika versioner. Alla visar mindre skillnader i beteende med vissa som också har dödkod (funktioner som inte körs av hotet) eller kommentarer från hotets skapare.

DarkRadiation Ransomware skrivs i ett bash-skript och fördunklas sedan via ett "nod-bash-förvirrat" öppen källkodsverktyg som är ett Node.js CLI-verktyg och bibliotek. Den är utformad för att krypa bash-skript genom att dela upp dem i mindre bitar som sedan tilldelas variabla namn. I sin tur ersätts originalskriptet med variabla referenser. När den levererats till det riktade systemet är DarkRadiation första uppgift att kontrollera root-behörigheter. Utan dem visar ransomware ett meddelande som säger "Vänligen kör som root" och tar bort sig själv.

Om den har de behörigheter som krävs kommer DarkRadiation Ransomware att fortsätta att skapa en ögonblicksbild av de användare som för närvarande är inloggade på Unix-datorer via bot_who-funktionen och kommandot 'vem'. Resultatet sparas i en dold fil i /tmp/.ccw. Proceduren upprepas sedan var femte sekund med hotet som jämför den nya ögonblicksbilden med det tillstånd som sparats i filen. Eventuella avvikelser som att nya användare är inloggade kommer att rapporteras till hotaktören via ett Telegrams API.

Krypteringsprocessen

DarkRadiation Ransomware använder OpenSSLs AES-algoritm med CBC-läge för att kryptera filerna som lagras i flera kataloger på de komprometterade systemen. Innan krypteringsprocessen inleds utför hotet dock en annan uppgift - det hämtar en lista över alla användare på den trasiga maskinen genom att göra en fråga till '/ etc / shadow / file. Det kommer då att skriva över lösenorden för de befintliga användarna med "megapassword". DarkRadiation fortsätter att radera alla användare med undantag av "Ferrum", en användarprofil som skapas av själva hotet. Genom att utföra kommandot 'usermod - shell / bin / nologin' inaktiverar ransomware alla befintliga skalanvändare. Hotet kommer att kontakta sin Command-and-Control (C&C) -server och leta efter närvaron av en fil med namnet '0.txt'. Om den inte finns där kommer DarkRadiation inte att använda sin krypteringsprocess och kommer istället att gå in i 60 sekunders viloläge innan du försöker igen.

Forskarna märkte små skillnader i krypteringsvägen som används av de upptäckta proverna av DarkRadiation. Vissa utförde krypteringen själva, medan andra använde ett separat skript som heter 'crypt_file.sh'. Men alla markerade de krypterade filerna genom att lägga till en radioaktiv symbol i de ursprungliga filnamnen som ett nytt tillägg. Skadlig programvara kommer att stoppa eller inaktivera alla aktiva Docker-behållare innan den genererar sin lösenanteckning.