Peneliti keamanan baru saja mengidentifikasi jenis ransomware terbaru yakni DarkRadiation. Malware ini bahkan dapat menyerang Telegram untuk komunikasi command-and- control (C2), dimana ditemukan langsung oleh analisi keamanan siber di wadah cloud Docker dan Linux.
Para peneliti juga menjelaskan bahwa malware tersebut menggunakan algoritma AES OpenSSL dengan mode CBC untuk mengenkripsi file di tiap direktori yang berbeda. Karena dalam enkripsi file, algoritma AES OpenSSL mode CBC lah yang digunakan.
Saat ini, tidak banyak informasi mengenai metode penyerangan malware ini di dunia nyata. Para peneliti baru bisa menganalisis alat peretasan pada infrastruktur yang tidak dikenal dalam direktori berjudul api_attack.
Para peneliti mengatakan bahwa serangan ransomware DarkRadiation adalah proses multi-langkah yang sangat bergantung pada skrip Bash untuk mengambil malware dan mengenkripsi file dengan API telegram.
Diduga malware tersebut saat ini sedang dalam tahap pengembangan. Peretas memanfaatkan beberapa metode untuk mengacak skrip dengan alat yang disebut node-bash-obfuscate untuk membagi kode ke bagian yang terpisah.
Ketika perangkat lunak dijalankan, DarkRadation akan menjalankan penilaian untuk mengetahui apakah sistem yang dikendalikan adalah pengguna root. Jika benar, itu akan secara otomatis mengaktifkan instalasi OpenSSl serta cURL, dan Wget.
DarkRadiation mencoba mengunduh dengan menggunakan alat pengelola paket untuk memulai penyebaran infeksi pada hari Selasa 22 Juni.
Pada tahap akhir infeksi DarkRadiation, ia mengambil seluruh daftar pengguna di sistem yang telah disusupi, dan menghapus semua pengguna shell. Tak ketinggalan, saat sebelum dihapus DarkRadiation membuat nama pengguna baru dan kata sandi untuk melanjutkan enkripsi.
Peneliti lain telah membuktikan bahwa DarkRadiation sedang mengalami pengembangan dengan variasi yang berbeda-beda. Hal ini membuktikan malware sedang diedit dan diadaptasi sebelum adannya penyebaran yang tidak diinginkan.
DarkRadiation melaporkan status eksekusi dan kunci enkripsi melalui API telegramnya, tetapi juga memiliki kemampuan untuk mengakhiri dan menonaktifkan Docker yang masih berjalan walaupun terinfeksi. Pada saat itu juga, catatan tebusan tersebut akan muncul di layar pengguna.
Menurut peneliti SentinelOne, skrip dalam serangan tersebut dapat mengalami iterasi karena keamanan perangkat lunak bergantung pada tanda tangan file statis. Dengan itu, ini akan membuka jalan bagi pembuatan berbagai file skrip yang ditulis secara unik.
