DECAF ransomware

Il DECAF Ransomware mette in mostra la crescente tendenza tra i criminali informatici ad allontanarsi dai tipici linguaggi di programmazione a favore di scelte meno popolari o esotiche. L'obiettivo è aumentare le possibilità che le loro creazioni minacciose evitino di essere rilevati da soluzioni anti-malware e di sicurezza informatica. Una delle scelte emergenti nel panorama delle minacce e quella utilizzata nella creazione di DECAF è Go, un linguaggio open source, orientato agli oggetti e multipiattaforma. Altre minacce ransomware scritte utilizzando Go sono Babuk, HelloKitty e Hive.

Funzionalità dannose

Quando viene distribuito sui sistemi compromessi, DECAF Ransomware avvierà il suo processo di crittografia che bloccherà i dati della vittima. La minaccia si basa su un meccanismo di filtro dei file per evitare di causare danni irreparabili al sistema operativo o la doppia crittografia dei fileaccidentalmente. In quanto tale, esegue la scansione e quindi ignora tutti i file che trasportano un'estensione ".decaf", denominata README.txt, o che corrispondono a un elenco incorporato di file, cartelle ed estensioni scelti dagli aggressori.

Dopo che la copia crittografata di ogni file di destinazione è stata creata, l'originale deve essere cancellato dal sistema. Per garantire che le vittime non siano in grado di ripristinare gli originali, DECAF utilizza cipher.exe, che viene chiamato per ogni directory e ha il compito di sovrascrivere i dati cancellati lì. La richiesta di riscatto della minaccia viene rilasciata come file README.txt e una copia verrà inserita in ogni cartella contenente i file crittografati.

In sviluppo attivo

Secondo gli esperti di infosec, il DECAF Ransomware è ancora in fase di svilupporapidamente con i criminali informatici che aggiungono più funzionalità e tecniche anti-rilevamento. Le modifiche possono essere viste chiaramente confrontando la versione di debug iniziale che è stata rilevata dalla versione pre-release di DECAF. Gli aggressori hanno aumentato la complessità della minaccia aggiungendo l'offuscamento delle stringhe. Le stringhe nascoste vengono de-offuscate tramite diverse funzioni personalizzate in fase di esecuzione. Diverse nuove versioni DECAF sono già state osservate in circolazione in natura. Per proteggere la propria infrastruttura critica, le aziende devono adeguare le proprie politiche di sicurezza informatica per tenere conto dei mutevoli modelli di attacco degli attori delle minacce.