DECAF Ransomware
DECAF Ransomware pokazuje rosnący wśród cyberprzestępców trend odchodzenia od typowych języków programowania na rzecz mniej popularnych lub egzotycznych wyborów. Celem jest zwiększenie szans na ich groźne kreacje, aby uniknąć wykrycia przez rozwiązania chroniące przed złośliwym oprogramowaniem i cyberbezpieczeństwem. Jednym z pojawiających się wyborów w krajobrazie zagrożeń i wykorzystanym przy tworzeniu DECAF jest Go, język open-source, zorientowany obiektowo i międzyplatformowy. Inne zagrożenia ransomware, które również zostały napisane przy użyciu Go, to Babuk, HelloKitty i Hive.
Szkodliwa funkcjonalność
Po wdrożeniu na zaatakowanych systemach, DECAF Ransomware zainicjuje proces szyfrowania, który zablokuje dane ofiary. Zagrożenie opiera się na mechanizmie filtrowania plików, aby uniknąć nieodwracalnego uszkodzenia systemu operacyjnego lub podwójnego szyfrowania jakichkolwiek plikówprzypadkowo. W związku z tym skanuje, a następnie ignoruje wszystkie pliki z rozszerzeniem „.decaf" o nazwie README.txt lub pasujące do osadzonej listy plików, folderów i rozszerzeń wybranych przez atakujących.
Po utworzeniu zaszyfrowanej kopii każdego docelowego pliku oryginał musi zostać usunięty z systemu. Aby zapewnić, że ofiary nie będą w stanie przywrócić oryginałów, DECAF używa pliku cipher.exe, który jest wywoływany dla każdego katalogu i ma za zadanie nadpisanie tam usuniętych danych. Żądanie okupu jest upuszczane jako plik README.txt, a kopia zostanie umieszczona w każdym folderze zawierającym zaszyfrowane pliki.
W ramach aktywnego rozwoju
Według ekspertów infosec, DECAF Ransomware wciąż jest rozwijanecyberprzestępcy szybko dodają nowe funkcje i techniki wykrywania. Modyfikacje można wyraźnie zobaczyć, porównując początkową wersję debugowania, która została przechwycona przez przedpremierową wersję DECAF. Osoby atakujące zwiększyły złożoność zagrożenia, dodając zaciemnianie ciągów znaków. Ukryte ciągi są odszyfrowywane za pomocą różnych funkcji niestandardowych w czasie wykonywania. Zaobserwowano już kilka nowych wersji DECAF krążących na wolności. Aby chronić swoją infrastrukturę krytyczną, firmy muszą dostosować swoje polityki bezpieczeństwa cybernetycznego, aby uwzględnić zmieniające się wzorce ataków ze strony cyberprzestępców.
