DECAF Ransomware

DECAF Ransomware ukazuje rostoucí trend mezi kyberzločinci odklonit se od typických programovacích jazyků ve prospěch méně populárních nebo exotických možností. Cílem je zvýšit šance na jejich ohrožující výtvory, aby nebyli odhaleni antimalware a řešeními kybernetické bezpečnosti. Jednou z nově vznikajících možností v oblasti hrozeb, která byla použita při vytváření DECAF, je Go, open source, objektově orientovaný a multiplatformní jazyk. Dalšími ransomwarovými hrozbami, které byly také napsány pomocí Go, jsou Babuk , HelloKitty a Hive .

Škodlivá funkčnost

Při nasazení na kompromitované systémy zahájí DECAF Ransomware svůj šifrovací proces, který uzamkne data oběti. Hrozba spoléhá na mechanismus filtrování souborů, aby nedošlo k nenapravitelnému poškození operačního systému nebo dvojitému šifrování souborů.náhodou. Jako takový prohledá a poté ignoruje všechny soubory s příponou '.decaf' s názvem README.txt nebo odpovídající vloženému seznamu souborů, složek a přípon vybraných útočníky.

Po vytvoření šifrované kopie každého cílového souboru musí být originál vymazán ze systému. Aby se zajistilo, že oběti nebudou moci obnovit originály, používá DECAF cipher.exe, který je volán pro každý adresář a má za úkol tam smazaná data přepsat. Výkupné o hrozbě je odstraněno jako soubor README.txt a kopie bude umístěna do každé složky obsahující zašifrované soubory.

V rámci aktivního rozvoje

Podle odborníků z infosec se DECAF Ransomware stále vyvíjíkyberzločinci přidávají další funkce a antidetekční techniky. Úpravy lze jasně vidět porovnáním původní ladicí verze, která byla zachycena předběžnou verzí DECAF. Útočníci zvýšili složitost hrozby přidáním zmatku řetězců. Skryté řetězce jsou za běhu odstraněny pomocí různých vlastních funkcí. Ve volné přírodě již bylo pozorováno několik nových verzí DECAF. Aby společnosti ochránily svou kritickou infrastrukturu, musí upravit své zásady kybernetické bezpečnosti tak, aby zohledňovaly měnící se vzorce útoků aktérů hrozeb.