DECAF Ransomware
O DECAF Ransomware mostra a tendência crescente entre os cibercriminosos de se afastar das linguagens de programação típicas em favor de opções menos populares ou exóticas. O objetivo é aumentar as chances das suas criações ameaçadoras para evitar serem detectadas por soluções de anti-malware e pela ciber segurança. Uma das opções emergentes no cenário de ameaças, e aquela usada na criação do DECAF, é o Go, uma linguagem de código aberto, orientada a objetos e de plataforma cruzada. Outras ameaças de ransomware que também foram escritas usando o Go são o Babuk, o HelloKitty e o Hive.
Funcionalidade Prejudicial
Quando implantado nos sistemas comprometidos, o DECAF Ransomware iniciará seu processo de criptografia que bloqueará os dados da vítima. A ameaça depende de um mecanismo de filtragem de arquivos para evitar causar danos irreparáveis ao sistema operacional ou criptografar duplamente os arquivos acidentalmente. Como tal, ela procura e ignora todos os arquivos que possuem uma extensão '.decaf', chamada README.txt, ou que correspondem a uma lista incorporada de arquivos, pastas e extensões escolhidas pelos atacantes.
Após a criação da cópia criptografada de cada arquivo visado, o original deve ser apagado do sistema. Para garantir que as vítimas não consigam restaurar os originais, o DECAF usa o cipher.exe, que é chamado para cada diretório e tem a tarefa de sobrescrever os dados excluídos ali. A nota de resgate da ameaça é exibida como um arquivo README.txt e uma cópia será colocada dentro de cada pasta que contém os arquivos criptografados.
Em Desenvolvimento Ativo
De acordo com os especialistas de infosec, o DECAF Ransomware ainda está sendo desenvolvido rapidamente com os cibercriminosos adicionando mais recursos e técnicas anti-detecção. As modificações podem ser vistas claramente comparando a versão de depuração inicial que foi capturada pela versão de pré-lançamento do DECAF. Os invasores aumentaram a complexidade da ameaça adicionando ofuscação de string. As strings ocultas são desofuscadas por meio de diferentes funções personalizadas no tempo de execução. Várias novas versões do DECAF já foram observadas circulando na natureza. Para proteger sua infraestrutura crítica, as empresas precisam ajustar suas políticas de segurança cibernética para levar em conta os padrões de ataque em constante mudança dos atores da ameaça.
