Een nieuwe ransomware-stam die gebruikmaakt van Golang benadrukt de toenemende acceptatie van de programmeertaal door bedreigingsactoren.
CrowdStrike heeft een voorbeeld van een nieuwe ransomware-variant veiliggesteld, die nog niet nader is genoemd, die functies leent van HelloKitty/DeathRansom en FiveHands.
Deze ransomware-soorten zijn vermoedelijk actief sinds 2019 en zijn gekoppeld aan aanvallen tegen de maker van Cyberpunk 2077, CD Projekt Red (CDPR), evenals bedrijfsorganisaties.
Het ontdekte voorbeeld onthult vergelijkbare functies als HelloKitty en FiveHands, met componenten geschreven in C++, evenals de manier waarop de malware bestanden versleutelt en opdrachtregelargumenten accepteert.
Bovendien maakt de nieuwe malware, vergelijkbaar met FiveHands, gebruik van een uitvoerbare packer die een sleutelwaarde vereist om zijn kwaadaardige lading in het geheugen te decoderen, inclusief het gebruik van de opdrachtregelschakelaar “-key”.
“Deze methode om een dropper met alleen geheugen te gebruiken, voorkomt dat beveiligingsoplossingen de uiteindelijke payload detecteren zonder de unieke sleutel die wordt gebruikt om de packer uit te voeren”, zegt CrowdStrike.
In tegenstelling tot HelloKitty en FiveHands heeft deze nieuwe ransomware-stam echter een packer gebruikt die is geschreven in Go en die zijn C++ ransomware-payload versleutelt.
Volgens Intezer was malware die Go gebruikte een zeldzaamheid vóór 2019, maar nu is de programmeertaal een populaire optie vanwege het gemak waarmee code snel kan worden gecompileerd voor meerdere platforms en de moeilijkheid om deze te reverse-engineeren. Samplefrequenties zijn de afgelopen jaren met ongeveer 2.000% toegenomen.
CrowdStrike's sample gebruikt de meest recente versie van Golang, v.1.16, die in februari 2021 werd uitgebracht.
“Hoewel door Golang geschreven malware en packers niet nieuw zijn, maakt het compileren met de nieuwste Golang het een uitdaging om te debuggen voor malwareonderzoekers”, merkt CrowdStrike op. “Dat komt omdat alle benodigde bibliotheken statisch zijn gekoppeld en opgenomen in het binaire bestand van de compiler, en het herstellen van de functienaam is moeilijk.”
Naast het gebruik van Go, bevat het voorbeeld typische functies van ransomware, waaronder de mogelijkheid om bestanden en schijven te versleutelen, evenals een betalingsverzoek in ruil voor een decoderingssleutel.
Het losgeldbriefje verwijst slachtoffers naar een Tor-adres voor een directe chatsessie met de malware-exploitanten en beweert ook meer dan 1 TB aan persoonlijke gegevens te hebben gestolen, wat suggereert dat de ontwikkelaars mogelijk proberen 'dubbele afpersing': als een slachtoffer weigert te betalen, worden bedreigd met het lekken van hun informatie.
Eerder deze maand publiceerde het onderzoeksteam van BlackBerry een rapport over ChaChi, een trojan geschreven in Go die is gebruikt om Franse overheidsinstanties en meer recentelijk de Amerikaanse onderwijssector aan te vallen.
Eerdere en gerelateerde dekking
Deze nieuwe ransomware-groep claimt tot nu toe meer dan 30 organisaties te hebben gehackt
Cyberverzekering helpt niet met cyberbeveiliging, en het kan de ransomwarecrisis verergeren, zeggen onderzoekers
De kosten van ransomware-aanvallen wereldwijd zullen de komende tien jaar meer dan $265 miljard bedragen
Heeft u een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 