DarkRadiation-Ransomware

DarkRadiation-Ransomware-Beschreibung

DarkRadiation ist eine Ransomware-Bedrohung, die von Cyberkriminellen bei einer Reihe von Angriffen gegen Linux-Systeme eingesetzt wird. Genauer gesagt zielten die Bedrohungsakteure darauf ab, Red Hat-, CentOS- und Debian-basierte Linux-Distributionen zu infizieren. Nachdem sich die Hacker Zugang verschafft hatten, benutzten sie einen SSH-Wurm, um sich seitlich durch das Netzwerk des Opfers zu bewegen und eine Ransomware-Bedrohung namens DarkRadiation zu installieren. Die Forscher von Infosec glauben, dass die Bedrohung aktiv weiterentwickelt wird, da sie mehrere verschiedene Versionen gefunden haben. Alle weisen geringfügige Verhaltensunterschiede auf, wobei einige auch toten Code (Funktionen, die von der Bedrohung nicht ausgeführt werden) oder Kommentare von den Erstellern der Bedrohung enthalten.

Die DarkRadiation Ransomware wird in einem Bash-Skript geschrieben und dann über ein "node-bash-obsfucated" Open-Source-Tool verschleiert, das ein Node.js CLI-Dienstprogramm und eine Bibliothek ist. Es wurde entwickelt, um Bash-Skripte zu verwürfeln, indem sie in kleinere Blöcke aufgeteilt werden, denen dann Variablennamen zugewiesen werden. Das ursprüngliche Skript wird wiederum durch Variablenreferenzen ersetzt. Nach der Lieferung an das Zielsystem besteht die erste Aufgabe von DarkRadiation darin, nach Root-Rechten zu suchen. Ohne sie zeigt die Ransomware die Meldung „Bitte als Root ausführen“ an und entfernt sich selbst.

Wenn sie über die erforderlichen Berechtigungen verfügt, erstellt die DarkRadiation Ransomware über die bot_who-Funktion und den Befehl 'who' einen Schnappschuss der derzeit auf Unix-Computern angemeldeten Benutzer. Das Ergebnis wird in einer versteckten Datei in /tmp/.ccw gespeichert. Der Vorgang wird dann alle fünf Sekunden wiederholt, wobei die Bedrohung den neuen Snapshot mit dem in der Datei gespeicherten Zustand vergleicht. Alle Unstimmigkeiten, wie beispielsweise die Anmeldung neuer Benutzer, werden dem Bedrohungsakteur über eine Telegramm-API gemeldet.

Der Verschlüsselungsprozess

Die DarkRadiation Ransomware verwendet den AES-Algorithmus von OpenSSL mit CBC-Modus, um die Dateien zu verschlüsseln, die in mehreren Verzeichnissen auf den kompromittierten Systemen gespeichert sind. Bevor der Verschlüsselungsprozess eingeleitet wird, führt die Bedrohung jedoch eine andere Aufgabe aus – sie ruft eine Liste aller Benutzer auf dem angegriffenen Computer ab, indem sie eine Abfrage an die Datei „/etc/shadow/“ durchführt. Es überschreibt dann die Passwörter der bestehenden Benutzer mit 'megapassword'. DarkRadiation löscht alle Benutzer mit Ausnahme von „Ferrum“, einem Benutzerprofil, das von der Bedrohung selbst erstellt wird. Durch Ausführen des Befehls 'usermod --shell /bin/nologin' deaktiviert die Ransomware alle vorhandenen Shell-Benutzer. Die Bedrohung kontaktiert ihren Command-and-Control (C&C)-Server und sucht nach einer Datei namens '0.txt'. Wenn es nicht vorhanden ist, startet DarkRadiation seinen Verschlüsselungsprozess nicht und wechselt stattdessen in einen 60-Sekunden-Schlafmodus, bevor es erneut versucht wird.

Die Forscher stellten leichte Unterschiede im Verschlüsselungspfad fest, der von den erkannten Proben von DarkRadiation verwendet wurde. Einige führten die Verschlüsselung selbst durch, während andere ein separates Skript namens 'crypt_file.sh' verwendeten. Sie alle markierten jedoch die verschlüsselten Dateien, indem sie als neue Erweiterung ein radioaktives Symbol an die ursprünglichen Dateinamen anhängten. Die Malware stoppt oder deaktiviert alle derzeit aktiven Docker-Container, bevor sie ihre Lösegeldforderung generiert.