Nueva variante de ransomware está dirigido al sistema operativo Linux y a Docker
Expertos de la firma de ciberseguridad llamada Trend Micro, han identificado una nueva variante de ransomware, la cual se llama “DarkRadiation” y se distribuye a través de scripts Bash y está diseñada para atacar contenedores en sistemas operativos Linux, tanto en la nube como locales.
Del mismo modo, está dirigido a entornos Docker. Dicha amenaza emplea el servicio de mensajería instantánea Telegram para establecer comunicaciones con su infraestructura de comando y control, llamada C2.
De acuerdo con el informe publicado en el blog oficial de esta empresa, el ransomware está completamente desarrollado en script Bash y se oriente principalmente a sistemas Linux basados en las distribuciones Red Hat, CentOS y Debian. Además, usa el cifrado AES en modo CBC, una implementación proporcionada por OpenSSL para bloquear archivos en diversos directorios del sistema afectado.
Del mismo modo, emplea la API de Telegram para notificar a los ciberdelincuentes sobre el estado de la infección en tiempo real. Este descubrimiento se ha producido tras un análisis exhaustivo de un conjunto de herramientas de hacking que estaba alojado en la infraestructura controlada por el ciberdelincuente aún no identificado, ubicado en un directorio denominado “api_attack”.
El hallazgo inicial fue hecho público por un usuario de la red social X, anteriormente llamada Twitter. La cadena de infección de este ransomware es compleja, desarrollándose en múltiples fases y se caracteriza por su alto nivel de dependencia de scripts Bash para distribuir el ransomware y encriptar archivos. La red Telegram, mediante claves API embebidas en el código, es utilizado como el canal principal de comunicación entre el malware y el servidor C2.
Una particularidad del ransomware es que se encontraba en fase de desarrollo activo, pero ya implementa avanzadas técnicas de ofuscación de código. Para ello, se sirve de una herramienta de código abierto conocida como “node-bash-ofuscate”, que permite descomponer el código en varios fragmentos, asignando nombres variables a cada uno, lo que dificulta el análisis del código original. Posteriormente, el script se recompone utilizando estas variables para ejecutar el ataque.
TIC Defense es una empresa especializada en la detección y lucha contra el malware, mediante herramientas y soluciones que protegen todos los entornos informáticos corporativos. De esta manera, nos enfocamos en la prevención de amenazas y en la respuesta rápida de las mismas cuando ocurre un evento malicioso o una brecha de seguridad, entre otros.
Cuando se ejecuta, el ransomware primero verifica si cuenta con privilegios de usuario root, lo que le otorga permisos elevados para descargar e instalar las bibliotecas necesarias, como Wget, cURL y OpenSSL. A continuación, realiza un monitoreo continuo de los usuarios conectados al sistema Unix comprometido, empleando el comando “who” cada cinco segundos. La información obtenida es exfiltrada hacia un servidor bajo control de los atacantes mediante la API de Telegram.
En la fase final de la infección, DarkRadiation recopila información sobre todos los usuarios del sistema comprometido y sobrescribe las contraseñas de las cuentas existentes con el término “megapassword”. También, elimina todos los usuarios de la shell y crea una nueva cuenta con un nuevo nombre de usuario y una contraseña, la cual permite continuar con la ejecución del proceso de cifrado en el sistema afectado.
