ΑρχικήsecurityGolang: Νέο ransomware δείχνει ότι οι χάκερς τη χρησιμοποιούν όλο και περισσότερο

Golang: Νέο ransomware δείχνει ότι οι χάκερς τη χρησιμοποιούν όλο και περισσότερο

Ένα νέο στέλεχος ransomware που χρησιμοποιεί τη Golang, υπογραμμίζει την αυξανόμενη χρήση της γλώσσας προγραμματισμού από χάκερς. Η CrowdStrike εξασφάλισε ένα δείγμα μιας νέας παραλλαγής ransomware, η οποία «δανείζεται» χαρακτηριστικά από τα ransomware HelloKitty / DeathRansom και FiveHands. Αυτά τα στελέχη ransomware πιστεύεται ότι είναι ενεργά από το 2019 και έχουν συνδεθεί με επιθέσεις εναντίον του κατασκευαστή του Cyberpunk 2077 – CD Projekt Red – καθώς και άλλων εταιρειών.

Το νεονακαλυφθέν δείγμα έχει παρόμοιες λειτουργίες με το HelloKitty και το FiveHands, με στοιχεία γραμμένα στη C ++, ενώ παρουσιάζει επίσης ομοιότητες στον τρόπο με τον οποίο το malware κρυπτογραφεί αρχεία και δέχεται επιχειρήματα γραμμής εντολών.

Διαβάστε επίσης: Conti ransomware: Χτυπά στην Ελλάδα πολλές εταιρείες και οργανισμούς!

Golang
Golang: Νέο ransomware δείχνει ότι οι χάκερς τη χρησιμοποιούν όλο και περισσότερο

Επιπλέον, όπως το FiveHands, το νέο malware χρησιμοποιεί ένα εκτελέσιμο packer που απαιτεί ένα key value για να αποκρυπτογραφήσει το κακόβουλο payload του στη μνήμη, συμπεριλαμβανομένης της χρήσης του διακόπτη γραμμής εντολών “-key”.

«Αυτή η μέθοδος χρήσης ενός memory-only dropper εμποδίζει τις λύσεις ασφαλείας να εντοπίσουν το τελικό payload, χωρίς το μοναδικό κλειδί που χρησιμοποιείται για την εκτέλεση του packer», ανέφερε η CrowdStrike.

Ωστόσο, σε αντίθεση με το HelloKitty και το FiveHands, αυτό το νέο στέλεχος ransomware έχει υιοθετήσει ένα packer γραμμένο στη Go που κρυπτογραφεί το C ++ ransomware payload του.

Δείτε επίσης: Ransomware ομάδες χρησιμοποιούν εικονικές μηχανές για να «καλύψουν» τις επιθέσεις τους

Σύμφωνα με την Intezer, τα malware που χρησιμοποιούσαν τη Go ήταν σπάνιο φαινόμενο πριν από το 2019, αλλά τώρα, η γλώσσα προγραμματισμού είναι μια δημοφιλής επιλογή λόγω της ευκολίας σύνταξης κώδικα γρήγορα για πολλές πλατφόρμες, αλλά και λόγω της δυσκολίας στο reverse-engineer. Τα ποσοστά δειγμάτων έχουν αυξηθεί κατά περίπου 2.000% τα τελευταία χρόνια.

Το δείγμα της CrowdStrike χρησιμοποιεί την πιο πρόσφατη έκδοση της Golang, v.1.16, που κυκλοφόρησε τον Φεβρουάριο του 2021.

Νέο ransomware χάκερς
Golang: Νέο ransomware δείχνει ότι οι χάκερς τη χρησιμοποιούν όλο και περισσότερο

Η CrowdStrike πρόσθεσε επίσης τα εξής: «Παρόλο που τα malware και τα packers που γράφονται στη Golang δεν είναι καινούργια, η σύνταξή του νέου ransomware με την τελευταία έκδοση της Golang, καθιστά στους ερευνητές malware δύσκολο τον εντοπισμό σφαλμάτων. Αυτό συμβαίνει επειδή όλες οι απαραίτητες βιβλιοθήκες συνδέονται στατικά και περιλαμβάνονται στο compiler binary και η ανάκτηση του ονόματος της συνάρτησης είναι δύσκολη.»

Πρόταση: Fortran: Η παλιά γλώσσα προγραμματισμού έρχεται ξανά στην επιφάνεια

Εκτός από τη χρήση της Go, το δείγμα περιέχει τυπικές λειτουργίες του ransomware – συμπεριλαμβανομένης της δυνατότητας κρυπτογράφησης αρχείων και δίσκων, καθώς και της απαίτησης πληρωμής με αντάλλαγμα ένα κλειδί αποκρυπτογράφησης.

Το σημείωμα λύτρων κατευθύνει τα θύματα σε μια διεύθυνση Tor για άμεση συνομιλία με τους χειριστές του malware. Σε αυτό, οι κακόβουλοι παράγοντες αναφέρουν ότι έχουν κλέψει πάνω από 1 TB προσωπικών δεδομένων, γεγονός που υποδηλώνει ότι οι προγραμματιστές ενδέχεται να εφαρμόσουν διπλό εκβιασμό, εάν ένα θύμα αρνηθεί να πληρώσει λύτρα, απειλώντας με διαρροή των πληροφοριών του.

Πηγή πληροφοριών: zdnet.com

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS