DarkRadiationランサムウェア

DarkRadiationは、Linuxシステムに対する一連の攻撃でサイバー犯罪者によって展開されたランサムウェアの脅威です。より具体的には、攻撃者はRed Hat、CentOS、およびDebianベースのLinuxディストリビューションに感染することを目的としていました。アクセスを取得した後、ハッカーはSSHワームを使用して被害者のネットワークを横方向に移動し、DarkRadiationという名前のランサムウェアの脅威を展開しました。 Infosecの研究者は、複数の異なるバージョンを発見したため、脅威は活発に開発されていると考えています。いずれも動作にわずかな違いがあり、デッドコード（脅威によって実行されない機能）や脅威の作成者によるコメントも含まれているものもあります。

DarkRadiationランサムウェアはbashスクリプトで記述され、Node.jsCLIユーティリティおよびライブラリである「node-bash-obsfucated」オープンソースツールを介して難読化されます。これは、bashスクリプトを小さなチャンクに分割してスクランブルし、変数名を割り当てるように設計されています。次に、元のスクリプトが変数参照に置き換えられます。対象のシステムに配信されると、DarkRadiationの最初のタスクはroot権限をチェックすることです。それらがないと、ランサムウェアは「rootとして実行してください」というメッセージを表示し、自身を削除します。

必要な権限がある場合、DarkRadiation Ransomwareは、bot_who関数と「who」コマンドを介して現在Unixコンピューターにログオンしているユーザーのスナップショットの作成に進みます。結果は/tmp/.ccwの隠しファイルに保存されます。その後、この手順が5秒ごとに繰り返され、脅威は新しいスナップショットをファイルに保存されている状態と比較します。新しいユーザーがログインするなどの不一致は、TelegramsAPIを介して脅威アクターに報告されます。

暗号化プロセス

DarkRadiation Ransomwareは、CBCモードでOpenSSLのAESアルゴリズムを使用して、侵害されたシステムの複数のディレクトリに保存されているファイルを暗号化します。 ただし、暗号化プロセスが開始される前に、脅威は別のタスクを実行します。脅威は、/ etc / shadow /ファイルにクエリを実行することにより、侵害されたマシン上のすべてのユーザーのリストを取得します。次に、既存のユーザーのパスワードを「megapassword」で上書きします。 DarkRadiationは、脅威自体によって作成されたユーザープロファイルである「Ferrum」を除くすべてのユーザーの削除に進みます。 'usermod --shell / bin / nologin'コマンドを実行することにより、ランサムウェアは既存のすべてのシェルユーザーを無効にします。脅威はそのコマンドアンドコントロール（C＆C）サーバーに接続し、「0.txt」という名前のファイルの存在を探します。そこにない場合、DarkRadiationは暗号化プロセスを実行せず、代わりに60秒のスリープに入ってから再試行します。

研究者たちは、DarkRadiationの検出されたサンプルで使用される暗号化パスにわずかな違いがあることに気づきました。自分で暗号化を実行するものもあれば、「crypt_file.sh」と呼ばれる別のスクリプトを使用するものもありました。ただし、それらはすべて、元のファイル名に新しい拡張子として放射性記号を追加することにより、暗号化されたファイルにマークを付けました。マルウェアは、身代金メモを生成する前に、現在アクティブなすべてのDockerコンテナを停止または無効にします。