Originalbeitrag von Mina Naiim, Threats Analyst
Wie bereits dargestellt, nimm die DarkSide Ransomware Unternehmen aus dem Bereich der Fertigung, Finanzwelt und kritischen Infrastrukturen ins Visier. Betroffen sind Windows- und Linux-Plattformen von Organisationen vor allem aus den USA, aus Frankreich, Belgien und Kanada. Uns fiel zudem auf, dass die Linux-Variante vornehmlich Dateien im Zusammenhang mit virtuellen Maschinen auf ESXI-Servern angreift. Wir haben das Verhalten der Variante analysiert, wie sie deren Embedded-Konfigurationen prüft, virtuelle Maschinen (VMs) abschießt, Dateien auf dem infizierten Rechner verschlüsselt, Systeminformationen sammelt und an den Remote-Server sendet.
Die folgende Tabelle fasst einige der Unterschiede zwischen dem Verhalten der Ransomware auf Windows und Linux zusammen:
Windows-Variante | Linux-Variante | |
Encryption Mechanism | Salsa20 with RSA-1024 | ChaCha20 with RSA-4096 |
Cipher Blocks | Salsa20 matrix is custom and randomly generated using“RtlRandomExW” | ChaCha20 initial block is standard, built using“expand 32-byte k”as a constant string |
Configuration | Encrypted | Not encrypted |
Terminates VMs? | No | Yes |
Target Files | All files on the system except the files, folders, and file extensions mentioned in the configuration | VM-related files on VMware ESXI servers, with specific file extensions mentioned in the configuration |
New Extension | Generated by applying CRC32 several times on the HWID of the victim machine as“.4731c768” | Hard-coded in the embedded configuration as“.darkside”or passed by execution parameters |
Ransom Note File Name | Consists of hard-coded part in the configuration as “README.”and the generated ID mentioned previously: for example, “README. 4731c768.TXT” | Hard-coded in the embedded configuration as“darkside_readme.txt”or passed by execution parameters |
Die ausführlichen technischen Einzelheiten der Verhaltensanalyse der Linux-Variante können Interessierte im Originalbeitrag nachlesen.
Fazit
Die DarkSide Ransomware-Familie zielt sowohl auf Windows- als auch auf Linux-Plattformen ab. Es gibt Ähnlichkeiten zwischen den beiden Ransomware-Varianten, doch unterscheiden sie sich in Bezug auf einige Merkmale, z. B. Verschlüsselungsmechanismus, Zieldateien, Name der Lösegeldforderung, Erweiterung, C&C-URL und mehr. Die Linux-Variante verwendet eine ChaCha20-Stream-Chiffre mit RSA-4096, um die Dateien auf dem Computer des Opfers zu verschlüsseln. Sie zielt hauptsächlich auf VM-bezogene Dateien auf VMWare ESXI-Servern ab, wie z. B. VMDK-Dateien. Die Malware kann auch Parameter annehmen, um weitere Dateien auf dem betroffenen System zu infizieren. Darüber hinaus führt die DarkSide-Ransomware ESXCLI-Befehle aus, um vSAN- und Speicherinformationen vom System zu erhalten. Sie listet laufende VMs auf dem infizierten ESXI-Host auf und beendet sie vor der Verschlüsselung. Schließlich legt sie eine Lösegeldforderung in den verschlüsselten Verzeichnissen auf dem Opfercomputer ab.
Indicators of Compromise beinhaltet der Originalbeitrag.