El mismo tiene como objetivo distribuciones Linux (CentOS; Debian; RedHat) y el uso de contenedores. A nivel de Comando y Control utiliza el servicio de mensajería Telegram a través de su API.
A nivel de cifrado utiliza el algoritmo AES de OpenSSL con modo CBC para cifrar los archivos.
El ransomware utiliza la herramienta «node-bash-obfuscate» a fin de fragmentar y ofuscar su código. A su vez, comprueba si se ejecuta como root, en ese caso descarga e instala las bibliotecas Wget , cURL y OpenSSL, periódicamente realiza comprobaciones de los usuarios que se encuentran conectados al sistema y envía esta información a través de la API de Telegram.
Por último, sobrescribe las contraseñas de los usuarios existentes en el sistema y genera un nuevo usuario a fin de continuar con el proceso de cifrado.
CVE Relacionado:
Recomendaciones:
– Ref: https://www.trendmicro.com/en_us/research/21/f/bash-ransomware-darkradiation-targets-red-hat–and-debian-based-linux-distributions.html