Ένα νέο στέλεχος ransomware που χρησιμοποιεί τη Golang, υπογραμμίζει την αυξανόμενη χρήση της γλώσσας προγραμματισμού από χάκερς. Η CrowdStrike εξασφάλισε ένα δείγμα μιας νέας παραλλαγής ransomware, η οποία «δανείζεται» χαρακτηριστικά από τα ransomware HelloKitty / DeathRansom και FiveHands. Αυτά τα στελέχη ransomware πιστεύεται ότι είναι ενεργά από το 2019 και έχουν συνδεθεί με επιθέσεις εναντίον του κατασκευαστή του Cyberpunk 2077 – CD Projekt Red – καθώς και άλλων εταιρειών.
Το νεονακαλυφθέν δείγμα έχει παρόμοιες λειτουργίες με το HelloKitty και το FiveHands, με στοιχεία γραμμένα στη C ++, ενώ παρουσιάζει επίσης ομοιότητες στον τρόπο με τον οποίο το malware κρυπτογραφεί αρχεία και δέχεται επιχειρήματα γραμμής εντολών.
Διαβάστε επίσης: Conti ransomware: Χτυπά στην Ελλάδα πολλές εταιρείες και οργανισμούς!
Επιπλέον, όπως το FiveHands, το νέο malware χρησιμοποιεί ένα εκτελέσιμο packer που απαιτεί ένα key value για να αποκρυπτογραφήσει το κακόβουλο payload του στη μνήμη, συμπεριλαμβανομένης της χρήσης του διακόπτη γραμμής εντολών “-key”.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
«Αυτή η μέθοδος χρήσης ενός memory-only dropper εμποδίζει τις λύσεις ασφαλείας να εντοπίσουν το τελικό payload, χωρίς το μοναδικό κλειδί που χρησιμοποιείται για την εκτέλεση του packer», ανέφερε η CrowdStrike.
Ωστόσο, σε αντίθεση με το HelloKitty και το FiveHands, αυτό το νέο στέλεχος ransomware έχει υιοθετήσει ένα packer γραμμένο στη Go που κρυπτογραφεί το C ++ ransomware payload του.
Δείτε επίσης: Ransomware ομάδες χρησιμοποιούν εικονικές μηχανές για να «καλύψουν» τις επιθέσεις τους
Σύμφωνα με την Intezer, τα malware που χρησιμοποιούσαν τη Go ήταν σπάνιο φαινόμενο πριν από το 2019, αλλά τώρα, η γλώσσα προγραμματισμού είναι μια δημοφιλής επιλογή λόγω της ευκολίας σύνταξης κώδικα γρήγορα για πολλές πλατφόρμες, αλλά και λόγω της δυσκολίας στο reverse-engineer. Τα ποσοστά δειγμάτων έχουν αυξηθεί κατά περίπου 2.000% τα τελευταία χρόνια.
Το δείγμα της CrowdStrike χρησιμοποιεί την πιο πρόσφατη έκδοση της Golang, v.1.16, που κυκλοφόρησε τον Φεβρουάριο του 2021.
Η CrowdStrike πρόσθεσε επίσης τα εξής: «Παρόλο που τα malware και τα packers που γράφονται στη Golang δεν είναι καινούργια, η σύνταξή του νέου ransomware με την τελευταία έκδοση της Golang, καθιστά στους ερευνητές malware δύσκολο τον εντοπισμό σφαλμάτων. Αυτό συμβαίνει επειδή όλες οι απαραίτητες βιβλιοθήκες συνδέονται στατικά και περιλαμβάνονται στο compiler binary και η ανάκτηση του ονόματος της συνάρτησης είναι δύσκολη.»
Πρόταση: Fortran: Η παλιά γλώσσα προγραμματισμού έρχεται ξανά στην επιφάνεια
Εκτός από τη χρήση της Go, το δείγμα περιέχει τυπικές λειτουργίες του ransomware – συμπεριλαμβανομένης της δυνατότητας κρυπτογράφησης αρχείων και δίσκων, καθώς και της απαίτησης πληρωμής με αντάλλαγμα ένα κλειδί αποκρυπτογράφησης.
Το σημείωμα λύτρων κατευθύνει τα θύματα σε μια διεύθυνση Tor για άμεση συνομιλία με τους χειριστές του malware. Σε αυτό, οι κακόβουλοι παράγοντες αναφέρουν ότι έχουν κλέψει πάνω από 1 TB προσωπικών δεδομένων, γεγονός που υποδηλώνει ότι οι προγραμματιστές ενδέχεται να εφαρμόσουν διπλό εκβιασμό, εάν ένα θύμα αρνηθεί να πληρώσει λύτρα, απειλώντας με διαρροή των πληροφοριών του.
Πηγή πληροφοριών: zdnet.com