DarkRadiation Ransomware
DarkRadiation, siber suçlular tarafından Linux sistemlerine yönelik bir dizi saldırıda kullanılan bir fidye yazılımı tehdididir. Daha spesifik olarak, tehdit aktörleri Red Hat, CentOS ve Debian tabanlı Linux dağıtımlarına bulaşmayı amaçladı. Erişim sağladıktan sonra, bilgisayar korsanları kurbanın ağı boyunca yanal olarak hareket etmek ve DarkRadiation adlı bir fidye yazılımı tehdidi dağıtmak için bir SSH solucanı kullandı. Infosec araştırmacıları, birden fazla farklı sürüm buldukları için tehdidin aktif olarak geliştirilmekte olduğuna inanıyor. Hepsi, bazıları ölü kod (tehdit tarafından yürütülmeyen işlevler) veya tehdidin yaratıcıları tarafından yapılan yorumlar ile davranışta küçük farklılıklar gösterir.
DarkRadiation Ransomware, bir bash betiğinde yazılır ve ardından bir Node.js CLI yardımcı programı ve kitaplığı olan 'node-bash-obsfucated' açık kaynaklı bir araç aracılığıyla gizlenir. Bash betiklerini daha sonra değişken adları atanan daha küçük parçalara bölerek karıştırmak için tasarlanmıştır. Sırayla, orijinal komut dosyası değişken referanslarla değiştirilir. Hedeflenen sisteme teslim edildikten sonra DarkRadiation'ın ilk görevi kök ayrıcalıklarını kontrol etmektir. Bunlar olmadan fidye yazılımı 'Lütfen root olarak çalıştırın' mesajını görüntüler ve kendisini kaldırır.
Gerekli ayrıcalıklara sahipse, DarkRadiation Ransomware bot_who işlevi ve 'who' komutu aracılığıyla Unix bilgisayarlarında oturum açmış olan kullanıcıların anlık görüntüsünü oluşturmaya devam edecektir. Sonuç, /tmp/.ccw içindeki gizli bir dosyaya kaydedilir. Prosedür daha sonra yeni anlık görüntüyü dosyaya kaydedilen durumla karşılaştıran tehditle her beş saniyede bir tekrarlanacaktır. Yeni kullanıcıların oturum açması gibi herhangi bir tutarsızlık, bir Telegram API aracılığıyla tehdit aktörüne bildirilecektir.
Şifreleme Süreci
DarkRadiation Ransomware, güvenliği ihlal edilmiş sistemlerde çeşitli dizinlerde depolanan dosyaları şifrelemek için OpenSSL'nin CBC modlu AES algoritmasını kullanır. Ancak, şifreleme işlemi başlatılmadan önce, tehdit başka bir görev gerçekleştirir - '/etc/shadow/ dosyasına bir sorgu yaparak, ihlal edilen makinedeki tüm kullanıcıların bir listesini alır. Daha sonra mevcut kullanıcıların şifrelerinin üzerine 'megapassword' yazacaktır. DarkRadiation, tehdidin kendisi tarafından oluşturulan bir kullanıcı profili olan 'Ferrum' dışında tüm kullanıcıları silmeye devam eder. 'usermod --shell /bin/nologin' komutunu çalıştırarak, fidye yazılımı mevcut tüm kabuk kullanıcılarını devre dışı bırakır. Tehdit, Komuta ve Kontrol (C&C) sunucusuyla bağlantı kuracak ve '0.txt' adlı bir dosyanın varlığını arayacaktır. Orada değilse, DarkRadiation şifreleme sürecini devreye sokmaz ve bunun yerine tekrar denemeden önce 60 saniyelik bir uyku moduna girer.
Araştırmacılar, tespit edilen DarkRadiation örnekleri tarafından kullanılan şifreleme yolunda küçük farklılıklar fark ettiler. Bazıları şifrelemeyi kendileri gerçekleştirirken, diğerleri 'crypt_file.sh' adlı ayrı bir komut dosyası kullandı. Ancak hepsi, orijinal dosya adlarına yeni bir uzantı olarak radyoaktif bir sembol ekleyerek şifrelenmiş dosyaları işaretledi. Kötü amaçlı yazılım, fidye notunu oluşturmadan önce şu anda etkin olan tüm Docker kapsayıcılarını durduracak veya devre dışı bırakacaktır.
