DarkSide creó una versión para Linux de su ransomware

Alien Labs de AT&T: malware diseñado para servidores de destino que alojan máquinas virtuales VMware

Ejemplo de nota de rescate de DarkSide Linux (Fuente: AT&T Alien Labs)

El grupo de ciberdelincuencia de habla rusa DarkSide, que anunció el 13 de mayo que estaba cerrando su operación de ransomware como servicio, había completado anteriormente una versión Linux de su malware diseñado para atacar servidores ESXi que alojan máquinas virtuales VMware, según Alien Labs de AT&T.

La operación criminal anunció una versión DarkSide 2.0 con capacidades de Linux el 9 de marzo de 2021, en el foro de ciberdelincuencia ruso XSS, informa la firma de seguridad. La versión original del ransomware apuntaba a dispositivos Windows.

Los investigadores no informan que ningún grupo esté utilizando ahora el malware de Linux.

«Los servidores Linux y Unix siempre han sido una opción preferida para servidores y centros de datos, probablemente debido a la pequeña superficie de ataque de los servidores, las configuraciones ajustadas y la falta de interacción del usuario», dice Ofer Caspi, investigador de seguridad de Alien Labs de AT&T. «Sin embargo, a menudo se configuran y luego se olvidan, quedando sin mecanismos de detección o protección».

Al infectar servidores de virtualización desprotegidos, los atacantes pueden realizar ataques devastadores a las empresas y pueden eliminar todos los servicios de una empresa con una sola infección, dicen los investigadores.

La pandilla DarkSide anunció el 13 de mayo que cerraría su operación de ransomware como servicio después de su ataque a Colonial Pipeline Co., que provocó el cierre temporal del oleoducto de la compañía que da servicio a gran parte de la costa este de EE. UU

Análisis de malware

“El malware [Linux] es bastante informativo e imprime en la pantalla la mayoría de las acciones que realiza, lo cual es un comportamiento poco común para el malware. Esto podría implicar que el malware se está implementando manualmente «, señala Caspi.

La versión de Linux del malware está escrita en C ++ y usa varias bibliotecas de código abierto que fueron importadas y compiladas con el código del malware en un binario, dice Caspi.

El uso de estas bibliotecas permite que el binario final tenga un tamaño de archivo de 2,7 MB, dice. El malware usa «funciones libcurl que fueron compiladas con el resto del código» para la comunicación entre una máquina infectada y un servidor de comando y control. «Además, el malware admite parámetros de línea de comandos durante la ejecución para reemplazar casi, si no todas, las variables de configuración predeterminadas», dice Caspi.

El malware de Linux permite apagar máquinas virtuales completas mediante la ejecución de los comandos esxcli, una consola especial en los servidores ESXi que les permite interactuar con las máquinas virtuales desde la línea de comandos, dice el investigador.

Tras la ejecución, el malware imprime su configuración en el terminal e incluye la ruta raíz para cifrar, información de clave RSA, extensiones de archivo específicas para cifrar y direcciones C2. Las direcciones C2 se cifran mediante una clave XOR rotada, que se descifra cuando se ejecuta el malware.

«Luego, el malware cuenta los archivos que se van a cifrar y recopila información de la máquina infectada y la envía al servidor C2 después del cifrado. La información extraída incluye el nombre de usuario, la versión del sistema operativo, el nombre de host y la compilación», señala el informe de AT&T. «El malware recorrerá los archivos para cifrarlos y luego los cifrará usando ChaCha20 con la clave RSA 4096 tomada de la configuración. Después del cifrado, el malware agregará una cola al final del archivo cifrado que incluye una constante y el cifrado . «

Una vez que se realiza el cifrado, el malware crea una nota de rescate en cada carpeta donde se cifraron los archivos.

fuente:inforisktoday.com/

Comments are closed.