BlackCocaine Ransomware

Badacze Infosec odkryli wyrafinowane zagrożenie złośliwym oprogramowaniem, wykorzystywane przez niedawno utworzoną grupę cyberprzestępczą. Hakerzy działają pod nazwą BlackCocaine i jest to również nazwa nadana ich tworzeniu złośliwego oprogramowania. Zagrożenie, które zostało zastosowane podczas ataku na indyjską firmę informatyczną, zostało sklasyfikowane jako złożone oprogramowanie ransomware.

BlackCocaine Ransomware jest napisany przy użyciu języka Go i usuwany jako plik wykonywalny spakowany UPX, który jest przeznaczony dla 64-bitowych systemów Windows. Przed uruchomieniem swojej głównej funkcjonalności zagrożenie wykonuje serię testów anty-VM. Jest również wyposażony w kilka technik zapobiegających debugowaniu, co znacznie utrudnia analizę. Jeśli wszystkie testy przejdą pomyślnie, BlackCocaine przystąpi do wyliczenia plików przechowywanych w naruszonym systemie, a następnie zaszyfruje je kombinacją algorytmów kryptograficznych AES i RSA.

Wszystkie pliki dotknięte w ten sposób będą miały „.BlackCocaine” dołączone do ich oryginalnych nazw jako nowe rozszerzenie. Po zakończeniu procesu szyfrowania zagrożenie dostarczy żądanie okupu w postaci pliku tekstowego o nazwie „HOW_TO_RECOVER_FILES.BlackCocaine.txt”.

Gang BlackCocaine ransomware ma dedykowaną stronę internetową utworzoną jako domena .top. Rozpoczynając swoją działalność, użytkownicy i organizacje powinny dostosować swoje środki bezpieczeństwa, aby uwzględnić jeszcze jednego zagrożenia na polu ransomware.