Эксперты предупредили о новом вымогателе DarkRadiation

Исследователи в области кибербезопасности из компании Trend Micro предупредили о новом вымогательском ПО под названием DarkRadiation. Вредонос разработан для атак на дистрибутивы Red Hat/CentOS, Debian Linux. Для связи с C&C-сервером злоумышленники используют мессенджер Telegram.

Вредоносная программа использует симметричный алгоритм блочного шифрования AES (Advanced Encryption Standard) с режимом CBC для шифрования файлов в различных каталогах. В настоящее время неизвестно о методах распространения вредоноса и нет свидетельств того, что программа-вымогатель использовалась в реальных атаках.

Информация была получена в результате анализа набора хакерских инструментов, размещенных в инфраструктуре неопознанного злоумышленника в каталоге api_attack. Папка api_attack содержала несколько версий DarkRadiation и SSH-червя (downloader.sh), отвечающего за распространение вредоноса

Программа-вымогатель находится на стадии активной разработки, с целью обфускации использует инструмент с открытым исходным кодом node-bash-obfuscate, позволяющий разбить код на несколько фрагментов с последующим присвоением имени переменной каждому сегменту и заменой исходного скрипта со ссылками на переменные.

DarkRadiation проверяет, был ли он запущен с правами суперпользователя, и использует повышенные разрешения для загрузки и установки библиотек Wget, cURL и OpenSSL. ПО также периодически собирает информацию о пользователях, авторизованных в системе Unix, используя команду «who» каждые пять секунд. Данные затем передаются на контролируемый злоумышленником сервер с помощью Telegram API.

На последней стадии атаки вредонос создает список всех доступных пользователей на скомпрометированной системе, перезаписывает существующие пароли с помощью megapassword и удаляет всех пользователей оболочки, перед этим создав нового пользователя ferrum и пароль MegPw0rD3 для продолжения процесса шифрования.

DarkRadiation также отключает все запущенные контейнеры Docker на зараженной системе и создает записку с требованием выкупа. Как отметили эксперты, программа-вымогатель добавляет радиоактивные символы (.☢) в качестве расширения для зашифрованного файла.

DarkRadiation содержит функцию install_tools для загрузки и установки необходимых утилит на зараженной системе, если они еще не установлены. Червь загружает и устанавливает только необходимые пакеты для дистрибутива Linux на базе CentOS или RHEL, поскольку он использует только менеджер пакетов Yellowdog Updater, Modified (YUM).