DarkRadiation ransomware

DarkRadiation ransomware Descripción

DarkRadiation es una amenaza de ransomware desplegada por ciberdelincuentes en una serie de ataques contra sistemas Linux. Más específicamente, los actores de amenazas tenían como objetivo infectar las distribuciones de Linux basadas en Red Hat, CentOS y Debian. Después de obtener acceso, los piratas informáticos utilizaron un gusano SSH para moverse lateralmente a través de la red de la víctima y desplegar una amenaza de ransomware llamada DarkRadiation. Los investigadores de Infosec creen que la amenaza está en desarrollo activo, ya que han encontrado múltiples versiones diferentes. Todos muestran pequeñas diferencias en el comportamiento y algunos también llevan código muerto (funciones que no son ejecutadas por la amenaza) o comentarios de los creadores de la amenaza.

DarkRadiation Ransomware se escribe en un script bash y luego se ofusca a través de una herramienta de código abierto 'node-bash-obsfucated' que es una utilidad y biblioteca CLI de Node.js. Está diseñado para codificar scripts bash dividiéndolos en trozos más pequeños a los que luego se les asignan nombres de variables. A su vez, el script original se reemplaza con referencias variables. Una vez entregado al sistema de destino, la primera tarea de DarkRadiation es verificar los privilegios de root. Sin ellos, el ransomware muestra un mensaje que dice "Ejecutar como root" y se elimina.

Si tiene los privilegios requeridos, DarkRadiation Ransomware procederá a crear una instantánea de los usuarios actualmente conectados en computadoras Unix a través de la función bot_who y el comando 'who'. El resultado se guarda en un archivo oculto en /tmp/.ccw. Luego, el procedimiento se repetirá cada cinco segundos y la amenaza comparará la nueva instantánea con el estado guardado en el archivo. Cualquier discrepancia, como el inicio de sesión de nuevos usuarios, se informará al actor de amenazas a través de una API de Telegrams.

El proceso de cifrado

DarkRadiation Ransomware emplea el algoritmo AES de OpenSSL con modo CBC para cifrar los archivos almacenados en varios directorios de los sistemas comprometidos. Sin embargo, antes de que se inicie el proceso de cifrado, la amenaza realiza otra tarea: recupera una lista de todos los usuarios de la máquina vulnerada al realizar una consulta en el archivo '/ etc / shadow /. Luego sobrescribirá las contraseñas de los usuarios existentes con 'megapassword'. DarkRadiation procede a eliminar a todos los usuarios con la excepción de 'Ferrum', un perfil de usuario creado por la propia amenaza. Al ejecutar el comando 'usermod --shell / bin / nologin', el ransomware deshabilita a todos los usuarios de shell existentes. La amenaza se pondrá en contacto con su servidor de Comando y Control (C&C) y buscará la presencia de un archivo llamado '0.txt'. Si no está allí, DarkRadiation no activará su proceso de cifrado y, en cambio, entrará en un modo de suspensión de 60 segundos antes de volver a intentarlo.

Los investigadores notaron ligeras diferencias en la ruta de cifrado utilizada por las muestras detectadas de DarkRadiation. Algunos realizaron el cifrado por sí mismos, mientras que otros emplearon un script separado llamado 'crypt_file.sh'. Sin embargo, todos marcaron los archivos cifrados añadiendo un símbolo radiactivo a los nombres de archivo originales como una nueva extensión. El malware detendrá o desactivará todos los contenedores Docker actualmente activos antes de generar su nota de rescate.