DarkRadiation Ransomware

DarkRadiation est une menace de ransomware déployée par des cybercriminels dans une série d'attaques contre les systèmes Linux. Plus précisément, les acteurs de la menace visaient à infecter les distributions Linux basées sur Red Hat, CentOS et Debian. Après avoir obtenu l'accès, les pirates ont utilisé un ver SSH pour se déplacer latéralement sur le réseau de la victime et déployer une menace de ransomware nommée DarkRadiation. Les chercheurs d'Infosec pensent que la menace est en cours de développement, car ils ont trouvé plusieurs versions différentes. Tous affichent des différences mineures de comportement, certains portant également du code mort (fonctions qui ne sont pas exécutées par la menace) ou des commentaires des créateurs de la menace.

Le DarkRadiation Ransomware est écrit dans un script bash, puis masqué via un outil open source « node-bash-obsfucated » qui est un utilitaire et une bibliothèque Node.js CLI. Il est conçu pour brouiller les scripts bash en les divisant en morceaux plus petits auxquels sont ensuite attribués des noms de variables. À son tour, le script d'origine est remplacé par des références de variables. Une fois livré au système ciblé, la première tâche de DarkRadiation est de vérifier les privilèges root. Sans eux, le ransomware affiche un message indiquant « Veuillez exécuter en tant que root » et se supprime.

S'il dispose des privilèges requis, DarkRadiation Ransomware procédera à la création d'un instantané des utilisateurs actuellement connectés sur les ordinateurs Unix via la fonction bot_who et la commande 'who'. Le résultat est enregistré dans un fichier caché dans /tmp/.ccw. La procédure sera ensuite répétée toutes les cinq secondes avec la menace comparant le nouvel instantané avec l'état enregistré dans le fichier. Toute divergence telle que la connexion de nouveaux utilisateurs sera signalée à l'acteur de la menace via une API Telegrams.

Le processus de cryptage

Le DarkRadiation Ransomware utilise l'algorithme AES d'OpenSSL avec le mode CBC pour crypter les fichiers stockés dans plusieurs répertoires sur les systèmes compromis. Cependant, avant que le processus de chiffrement ne soit lancé, la menace effectue une autre tâche - elle récupère une liste de tous les utilisateurs sur la machine violée en effectuant une requête dans le fichier '/etc/shadow/. Il écrasera ensuite les mots de passe des utilisateurs existants avec « megapassword ». DarkRadiation procède à la suppression de tous les utilisateurs à l'exception de « Ferrum », un profil utilisateur créé par la menace elle-même. En exécutant la commande 'usermod --shell /bin/nologin', le ransomware désactive tous les utilisateurs shell existants. La menace contactera son serveur de commande et de contrôle (C&C) et recherchera la présence d'un fichier nommé « 0.txt ». S'il n'est pas là, DarkRadiation n'engagera pas son processus de cryptage et entrera à la place en veille de 60 secondes avant de réessayer.

Les chercheurs ont remarqué de légères différences dans le chemin de cryptage utilisé par les échantillons détectés de DarkRadiation. Certains ont effectué le chiffrement par eux-mêmes, tandis que d'autres ont utilisé un script distinct appelé "crypt_file.sh". Cependant, ils ont tous marqué les fichiers cryptés en ajoutant un symbole radioactif aux noms de fichiers d'origine en tant que nouvelle extension. Le malware arrêtera ou désactivera tous les conteneurs Docker actuellement actifs avant de générer sa demande de rançon.