BlackCocaïne Ransomware

Infosec-onderzoekers hebben een geavanceerde malwarebedreiging ontdekt die wordt gebruikt door een recent opgerichte cybercriminele groep. De hackers opereren onder de naam BlackCocaine en dit is ook de aanduiding die wordt gegeven aan hun malwarecreatie. De dreiging die werd ingezet bij een aanval op een in India gevestigd IT-bedrijf, werd geclassificeerd als complexe ransomware.

De BlackCocaine Ransomware is geschreven met behulp van de Go-taal en neergezet als een UPX-verpakt uitvoerbaar bestand dat gericht is op 64-bits Windows-systemen. Voordat de hoofdfunctionaliteit wordt gestart, voert de dreiging een reeks anti-VM-tests uit. Het is ook uitgerust met verschillende anti-debugging-technieken die analyse veel moeilijker maken. Als alle tests met succes zijn doorstaan, gaat BlackCocaine verder met het inventariseren van de bestanden die zijn opgeslagen op het gehackte systeem en versleutelt deze vervolgens met een combinatie van de cryptografische algoritmen AES en RSA.

Aan alle bestanden die op deze manier worden beïnvloed, wordt '.BlackCocaine' toegevoegd aan hun oorspronkelijke naam als een nieuwe extensie. Na voltooiing van het versleutelingsproces, zal de dreiging een losgeldbrief afleveren als een tekstbestand met de naam 'HOW_TO_RECOVER_FILES.BlackCocaine.txt.'

De BlackCocaine ransomware-bende heeft een speciale website gemaakt als een .top-domein. Met de start van hun activiteiten moeten gebruikers en organisaties hun beveiligingsmaatregelen aanpassen om rekening te houden met weer een andere dreigingsactor op het gebied van ransomware.