DECAF Ransomware
DECAF Ransomware viser den voksende tendens blandt cyberkriminelle til at bevæge sig væk fra de typiske programmeringssprog til fordel for mindre populære eller eksotiske valg. Målet er at øge chancerne for deres truende kreationer for at undgå at blive opdaget af anti-malware og cybersikkerhedsløsninger. Et af de nye valg i trusselslandskabet, og det, der blev brugt i skabelsen af DECAF, er Go, et open source, objektorienteret sprog på tværs af platforme. Andre ransomware-trusler, der også blev skrevet med Go, er Babuk, HelloKitty og Hive.
Skadelig funktionalitet
Når den installeres på de kompromitterede systemer, vil DECAF Ransomware starte sin krypteringsproces, der låser ofrets data. Truslen er afhængig af en filfiltreringsmekanisme for at undgå at forårsage uoprettelig skade på operativsystemet eller dobbeltkryptering af filerved en fejltagelse. Som sådan scanner den og ignorerer derefter alle filer, der bærer en '.decaf'-udvidelse, kaldet README.txt, eller matcher en indlejret liste over filer, mapper og udvidelser valgt af angriberne.
Efter at den krypterede kopi af hver målfil er blevet oprettet, skal originalen slettes fra systemet. For at sikre, at ofrene ikke vil være i stand til at gendanne originalerne, bruger DECAF cipher.exe, som kaldes for hver mappe og har til opgave at overskrive de slettede data der. Løseseddelen for truslen slettes som en README.txt-fil, og en kopi vil blive placeret i hver mappe, der indeholder de krypterede filer.
Under Aktiv udvikling
Ifølge infosec-eksperter er DECAF Ransomware stadig under udviklinghurtigt med cyberkriminelle tilføjelse af flere funktioner og anti-detektionsteknikker. Ændringerne kan tydeligt ses ved at sammenligne den indledende debug-version, der blev fanget af DECAFs pre-release-version. Angriberne forstærkede kompleksiteten af truslen ved at tilføje streng obfuscation. De skjulte strenge de-obfusceres via forskellige brugerdefinerede funktioner på runtime. Adskillige nye DECAF-versioner er allerede blevet observeret cirkulere i naturen. For at beskytte deres kritiske infrastruktur skal virksomheder tilpasse deres cybersikkerhedspolitikker for at tage højde for trusselsaktørernes skiftende angrebsmønstre.
