DarkSide auf Linux: Ziel sind virtuelle Maschinen

Originalbeitrag von Mina Naiim, Threats Analyst

Wie bereits dargestellt, nimm die DarkSide Ransomware Unternehmen aus dem Bereich der Fertigung, Finanzwelt und kritischen Infrastrukturen ins Visier. Betroffen sind Windows- und Linux-Plattformen von Organisationen vor allem aus den USA, aus Frankreich, Belgien und Kanada. Uns fiel zudem auf, dass die Linux-Variante vornehmlich Dateien im Zusammenhang mit virtuellen Maschinen auf ESXI-Servern angreift. Wir haben das Verhalten der Variante analysiert, wie sie deren Embedded-Konfigurationen prüft, virtuelle Maschinen (VMs) abschießt, Dateien auf dem infizierten Rechner verschlüsselt, Systeminformationen sammelt und an den Remote-Server sendet.

Die folgende Tabelle fasst einige der Unterschiede zwischen dem Verhalten der Ransomware auf Windows und Linux zusammen:

  Windows-Variante Linux-Variante
Encryption Mechanism Salsa20 with RSA-1024 ChaCha20 with RSA-4096
Cipher Blocks Salsa20 matrix is custom and randomly generated using “RtlRandomExW” ChaCha20 initial block is standard, built using “expand 32-byte k” as a constant string
Configuration Encrypted Not encrypted
Terminates VMs? No Yes
Target Files All files on the system except the files, folders, and file extensions mentioned in the configuration VM-related files on VMware ESXI servers, with specific file extensions mentioned in the configuration
New Extension Generated by applying CRC32 several times on the HWID of the victim machine as “.4731c768” Hard-coded in the embedded configuration as “.darkside” or passed by execution parameters
Ransom Note File Name Consists of hard-coded part in the configuration as “README.” and the generated ID mentioned previously:  for example, “README. 4731c768.TXT” Hard-coded in the embedded configuration as “darkside_readme.txt” or passed by execution parameters

Die ausführlichen technischen Einzelheiten der Verhaltensanalyse der Linux-Variante können Interessierte im Originalbeitrag nachlesen.

Fazit

Die DarkSide Ransomware-Familie zielt sowohl auf Windows- als auch auf Linux-Plattformen ab. Es gibt Ähnlichkeiten zwischen den beiden Ransomware-Varianten, doch unterscheiden sie sich in Bezug auf einige Merkmale, z. B. Verschlüsselungsmechanismus, Zieldateien, Name der Lösegeldforderung, Erweiterung, C&C-URL und mehr.

Die Linux-Variante verwendet eine ChaCha20-Stream-Chiffre mit RSA-4096, um die Dateien auf dem Computer des Opfers zu verschlüsseln. Sie zielt hauptsächlich auf VM-bezogene Dateien auf VMWare ESXI-Servern ab, wie z. B. VMDK-Dateien. Die Malware kann auch Parameter annehmen, um weitere Dateien auf dem betroffenen System zu infizieren. Darüber hinaus führt die DarkSide-Ransomware ESXCLI-Befehle aus, um vSAN- und Speicherinformationen vom System zu erhalten. Sie listet laufende VMs auf dem infizierten ESXI-Host auf und beendet sie vor der Verschlüsselung. Schließlich legt sie eine Lösegeldforderung in den verschlüsselten Verzeichnissen auf dem Opfercomputer ab.

Indicators of Compromise beinhaltet der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.