Blog

Una nueva variante de Ransomware llamada DarkRadiation se dirige a Linux y Docker

Los investigadores de ciberseguridad de la empresa Trend Micro, han revelado una nueva cepa de ransomware llamada «DarkRadiation«, que se implementa mediante Bash y se dirige a los contenedores en maquinas en la nube y on-premise Linux, cómo también en Docker, mientras se utiliza el servicio de mensajería instantánea de Telegram para comunicaciones al command and control (C2).

Según los investigadores de Trend Micro desde su blog oficial «El ransomware está escrito en script Bash y apunta a distribuciones Red Hat / CentOS y Debian Linux… El malware usa el algoritmo AES de OpenSSL con modo CBC para cifrar archivos en varios directorios. También usa la API de Telegram para enviar un estado de infección a los actores de la amenaza«.

Los hallazgos provienen de un análisis de una colección de herramientas de piratería alojadas en la infraestructura del actor de amenazas no identificado (dirección IP «185.141.25.168») en un directorio llamado «api_attack«. El conjunto de herramientas fue identificado por primera vez por el usuario de Twitter @r3dbU7z el 28 de mayo. La cadena de infección de DarkRadiation implica un proceso de ataque de varias etapas y es notable por su amplia dependencia de los scripts Bash para recuperar el malware y cifrar los archivos, así como la API de Telegram para comunicarse con el servidor C2 a través de claves API codificadas.

Se dice que está en desarrollo activo, el ransomware aprovecha las tácticas de ofuscación para codificar el script de Bash utilizando una herramienta de código abierto llamada «node-bash-ofuscate» para dividir el código en varios fragmentos, seguido de asignar un nombre de variable a cada segmento y reemplazarlo. el script original con referencias variables.

Tras la ejecución, DarkRadiation comprueba si se ejecuta como usuario root y, de ser así, utiliza los permisos elevados para descargar e instalar las bibliotecas Wget , cURL y OpenSSL, y toma una captura de los usuarios que están conectados actualmente a un sistema Unix, usando el comando «who» cada cinco segundos, cuyos resultados luego se exfiltran a un servidor controlado por el atacante usando la API de Telegram.

En su fase final de la infección, el ransomware recupera la lista de todos los usuarios disponibles en el sistema comprometido, sobrescribe las contraseñas de los usuarios existentes con «megapassword» y elimina todos los usuarios de la shell, pero no antes de crear un nuevo usuario con el nombre de usuario «ferrum«, con la contraseña «MegPw0rD3» para continuar con el proceso de cifrado.

Además de informar el estado de ejecución, junto con la clave de cifrado, al canal de Telegram del adversario a través de la API, DarkRadiation también viene con capacidades para detener y deshabilitar todos los contenedores Docker en ejecución en la máquina infectada, después de lo cual se muestra una nota de rescate para el usuario.

Más información:

https://www.trendmicro.com/en_us/research/21/f/bash-ransomware-darkradiation-targets-red-hat–and-debian-based-linux-distributions.html

https://www.virustotal.com/gui/file/45422231132d5c235a92a332a753b8226d9aa2e80b1cca3387cc14806276da47/behavior/OS%20X%20Sandbox

https://github.com/willshiao/node-bash-obfuscate

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad