En ny ransomware-belastning som bruker Golang fremhever programmeringsspråkets økende adopsjon av trusselaktører.
CrowdStrike sikret et utvalg av en ny ransomware-variant, som ennå ikke er navngitt, som låner funksjoner fra HelloKitty/DeathRansom og FiveHands.
Disse ransomware-stammene antas å ha vært aktive siden 2019 og har vært knyttet til angrep mot produsenten av Cyberpunk 2077, CD Projekt Red (CDPR), samt bedriftsorganisasjoner.
Utvalget som ble oppdaget, avslører lignende funksjoner som HelloKitty og FiveHands, med komponenter skrevet i C ++, samt måten skadelig programvare krypterer filer og godtar kommandolinjeargumenter.
I tillegg, i likhet med FiveHands, bruker den nye skadelige programvaren en kjørbar pakke som krever en nøkkelverdi for å dekryptere sin ondsinnede nyttelast i minnet, inkludert bruk av kommandolinjebryteren “-tast.”
“Denne metoden for å bruke en minnehurtig dropper forhindrer sikkerhetsløsninger i å oppdage den endelige nyttelasten uten den unike nøkkelen som brukes til å utføre pakkeren,” sier CrowdStrike.
Imidlertid, i motsetning til HelloKitty og FiveHands, har denne nye ransomware-stammen tatt i bruk en pakker skrevet i Go som krypterer C ++ ransomware-nyttelasten.
I følge Intezer var skadelig programvare som bruker Go, en sjelden forekomst før 2019, men nå er programmeringsspråket et populært alternativ på grunn av det enkle å kompilere kode raskt for flere plattformer og dets vanskeligheter med å omforme. Prøvefrekvensen har økt med omtrent 2000% de siste årene.
CrowdStrikes utvalg bruker den nyeste versjonen av Golang, v.1.16, som ble utgitt i februar 2021.
“Selv om skadeprogrammer og pakker som ikke er skrevet av Golang, ikke er nye, gjør det å samle det med den nyeste Golang utfordrende å feilsøke for malware-forskere,” bemerker CrowdStrike. “Det er fordi alle nødvendige biblioteker er statisk koblet og inkludert i kompilatorbinaren, og funksjonsnavngjenoppretting er vanskelig.”
I tillegg til bruken av Go inneholder prøven typiske funksjoner til ransomware – inkludert muligheten til å kryptere filer og disker, samt utstede et krav om betaling mot en dekrypteringsnøkkel.
Gjenløsningsanvisningen leder ofrene til en Tor-adresse for en direkte chat-økt med malware-operatørene, og hevder også å ha stjålet over 1 TB i personlige data, noe som antyder at utviklerne kan forsøke 'dobbel utpressing': hvis et offer nekter å betale, vil de er truet med lekkasje av informasjonen deres.
Tidligere denne måneden publiserte BlackBerrys trusselforskningsteam en rapport om ChaChi, en trojan skrevet i Go som har blitt brukt til å angripe franske regjeringsmyndigheter, og nylig den amerikanske utdanningssektoren.
Tidligere og relatert dekning
Denne nye ransomwaregruppen hevder å ha brutt over 30 organisasjoner så langt
Cyberforsikring hjelper ikke med cybersikkerhet, og det kan forverre ransomware-krisen, sier forskere
Kostnaden for ransomware-angrep over hele verden vil overstige 265 milliarder dollar det neste tiåret
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Security TV Data Management CXO Data Centers 