DECAF-ransomware
De DECAF Ransomware toont de groeiende trend onder cybercriminelen om af te stappen van de typische programmeertalen ten gunste van minder populaire of exotische keuzes. Het doel is om de kans op hun bedreigende creaties te vergroten om te voorkomen dat ze worden gedetecteerd door antimalware- en cyberbeveiligingsoplossingen. Een van de opkomende keuzes in het dreigingslandschap, en degene die wordt gebruikt bij het maken van DECAF, is Go, een open-source, objectgeoriënteerde en platformonafhankelijke taal. Andere ransomware bedreigingen die ook werden geschreven met behulp van Go zijn Babuk, HelloKitty en Hive.
Schadelijke functionaliteit
Wanneer de DECAF Ransomware wordt ingezet op de gecompromitteerde systemen, start het zijn versleutelingsproces dat de gegevens van het slachtoffer vergrendelt. De dreiging is afhankelijk van een bestandsfiltermechanisme om te voorkomen dat onherstelbare schade aan het besturingssysteem wordt veroorzaakt of dat bestanden dubbel worden versleuteldper ongeluk. Als zodanig scant en negeert het alle bestanden met de extensie '.decaf', genaamd README.txt, of die overeenkomen met een ingesloten lijst met bestanden, mappen en extensies gekozen door de aanvallers.
Nadat de versleutelde kopie van elk doelbestand is gemaakt, moet het origineel van het systeem worden gewist. Om ervoor te zorgen dat de slachtoffers de originelen niet kunnen herstellen, gebruikt DECAF cipher.exe, dat voor elke map wordt aangeroepen en de taak heeft om de verwijderde gegevens daar te overschrijven. De losgeldbrief van de dreiging wordt verwijderd als een README.txt-bestand en een kopie zal in elke map worden geplaatst die de versleutelde bestanden bevat.
Onder actieve ontwikkeling
Volgens infosec-experts wordt de DECAF Ransomware nog steeds ontwikkeldsnel met de cybercriminelen die meer functies en anti-detectietechnieken toevoegen. De wijzigingen kunnen duidelijk worden gezien door de eerste debug-versie te vergelijken die werd opgevangen door de pre-releaseversie van DECAF. De aanvallers hebben de complexiteit van de dreiging vergroot door stringverduistering toe te voegen. De verborgen strings worden tijdens runtime onoverzichtelijk gemaakt via verschillende aangepaste functies. Er zijn al verschillende nieuwe DECAF-versies waargenomen die in het wild circuleren. Om hun kritieke infrastructuur te beschermen, moeten bedrijven hun cyberbeveiligingsbeleid aanpassen om rekening te houden met de veranderende aanvalspatronen van de dreigingsactoren.
