DECAF 랜섬웨어

DECAF Ransomware는 사이버 범죄자들이 덜 유명하거나 이국적인 선택을 위해 일반적인 프로그래밍 언어에서 멀어지는 추세를 보여줍니다. 목표는 맬웨어 방지 및 사이버 보안 솔루션에 탐지되지 않도록 위협적인 생성 가능성을 높이는 것입니다. 위협 환경에서 떠오르는 선택 중 하나이며 DECAF 생성에 사용된 것은 오픈 소스, 객체 지향 및 크로스 플랫폼 언어인 Go입니다. Go를 사용하여 작성된 다른 랜섬웨어 위협으로는 Babuk , HelloKitty 및 Hive가 있습니다.

유해한 기능

손상된 시스템에 배포되면 DECAF Ransomware는 피해자의 데이터를 잠그는 암호화 프로세스를 시작합니다. 위협 요소는 파일 필터링 메커니즘에 의존하여 운영 체제에 복구할 수 없는 손상을 일으키거나 파일을 이중으로 암호화하는 것을 방지합니다.우연히. 따라서 README.txt라는 이름의 '.decaf' 확장자를 포함하거나 공격자가 선택한 파일, 폴더 및 확장자의 포함 목록과 일치하는 모든 파일을 검색한 다음 무시합니다.

각 대상 파일의 암호화된 복사본이 생성된 후 원본은 시스템에서 지워져야 합니다. 피해자가 원본을 복원할 수 없도록 DECAF는 각 디렉토리에 대해 호출되고 삭제된 데이터를 덮어쓰는 cipher.exe를 사용합니다. 위협에 대한 몸값 기록은 README.txt 파일로 삭제되고 복사본은 암호화된 파일이 포함된 각 폴더에 배치됩니다.

활발한 개발 중

infosec 전문가에 따르면 DECAF Ransomware는 아직 개발 중입니다.사이버 범죄자가 더 많은 기능과 탐지 방지 기술을 추가하면서 빠르게 DECAF의 시험판 버전에서 포착된 초기 디버그 버전을 비교하면 수정 사항을 명확하게 알 수 있습니다. 공격자는 문자열 난독화를 추가하여 위협의 복잡성을 높였습니다. 숨겨진 문자열은 런타임에 다른 사용자 정의 함수를 통해 난독화 해제됩니다. 여러 가지 새로운 DECAF 버전이 이미 야생에서 유통되는 것이 관찰되었습니다. 중요한 인프라를 보호하기 위해 기업은 위협 행위자의 변화하는 공격 패턴을 고려하여 사이버 보안 정책을 조정해야 합니다.