DarkRadiation Ransomware

DarkRadiation Ransomware說明

DarkRadiation 是一種勒索軟件威脅,由網絡犯罪分子在針對 Linux 系統的一系列攻擊中部署。更具體地說,攻擊者旨在感染 Red Hat、CentOS 和基於 Debian 的 Linux 發行版。獲得訪問權限後,黑客使用 SSH 蠕蟲橫向移動受害者的網絡並部署名為 DarkRadiation 的勒索軟件威脅。信息安全研究人員認為,該威脅正在積極開發中,因為他們發現了多個不同的版本。所有這些都顯示出細微的行為差異,其中一些還帶有死代碼(威脅未執行的函數)或威脅創建者的評論。

DarkRadiation Ransomware 是用 bash 腳本編寫的,然後通過“node-bash-obsfucated”開源工具進行混淆,該工具是一個 Node.js CLI 實用程序和庫。它旨在通過將 bash 腳本拆分為較小的塊,然後為其分配變量名稱來打亂 bash 腳本。反過來,原始腳本被變量引用替換。一旦傳送到目標系統,DarkRadiation 的第一個任務就是檢查 root 權限。如果沒有它們,勒索軟件會顯示一條消息,指出“請以 root 身份運行”,然後自行刪除。

如果它具有所需的權限,DarkRadiation Ransomware 將繼續通過 bot_who 函數和“who”命令創建當前登錄 Unix 計算機的用戶的快照。結果保存在 /tmp/.ccw 中的隱藏文件中。該過程將每五秒重複一次,威脅將新快照與文件中保存的狀態進行比較。任何差異(例如新用戶登錄)都將通過 Telegrams API 報告給威脅行為者。

加密過程

DarkRadiation Ransomware 採用 OpenSSL 的 AES 算法和 CBC 模式來加密存儲在受感染系統上多個目錄中的文件。 但是,在啟動加密過程之前,威脅會執行另一項任務——它通過查詢“/etc/shadow/”文件來檢索受攻擊機器上所有用戶的列表。然後它將用“megapassword”覆蓋現有用戶的密碼。 DarkRadiation 繼續刪除除“Ferrum”之外的所有用戶,這是由威脅本身創建的用戶配置文件。通過執行“usermod --shell /bin/nologin”命令,勒索軟件會禁用所有現有的 shell 用戶。威脅將聯繫其命令和控制 (C&C) 服務器並查找名為“0.txt”的文件的存在。如果它不存在,DarkRadiation 將不會參與其加密過程,而是會在再次嘗試之前進入 60 秒的睡眠。

研究人員注意到檢測到的 DarkRadiation 樣本所使用的加密路徑略有不同。有些人自己執行加密,而其他人則使用名為“crypt_file.sh”的單獨腳本。然而,他們都通過在原始文件名後附加一個放射性符號作為新擴展名來標記加密文件。惡意軟件會在生成贖金票據之前停止或禁用所有當前活動的 Docker 容器。