Ein neuer Ransomware-Stamm, der Golang nutzt, unterstreicht die zunehmende Akzeptanz der Programmiersprache durch Bedrohungsakteure.
CrowdStrike sicherte sich eine Probe einer neuen, noch nicht benannten Ransomware-Variante, die Funktionen von HelloKitty/DeathRansom und FiveHands übernimmt.
Diese Ransomware-Stämme sind vermutlich seit 2019 aktiv und wurden mit Angriffen gegen attacks in Verbindung gebracht der Hersteller von Cyberpunk 2077, CD Projekt Red (CDPR) sowie Unternehmensorganisationen.
Das entdeckte Beispiel zeigt ähnliche Funktionen wie HelloKitty und FiveHands mit in C++ geschriebenen Komponenten sowie die Art und Weise, wie die Malware Dateien verschlüsselt und Befehlszeilenargumente akzeptiert.
Darüber hinaus verwendet die neue Malware, ähnlich wie FiveHands, einen ausführbaren Packer, der einen Schlüsselwert benötigt, um seine schädliche Nutzlast in den Speicher zu entschlüsseln, einschließlich der Verwendung des Befehlszeilenschalters “-key”.
“Diese Methode der Verwendung eines reinen Speicher-Droppers verhindert, dass Sicherheitslösungen die endgültige Nutzlast ohne den eindeutigen Schlüssel erkennen, der zum Ausführen des Packers verwendet wird”, sagt CrowdStrike.
Im Gegensatz zu HelloKitty und FiveHands hat dieser neue Ransomware-Stamm jedoch einen in Go geschriebenen Packer übernommen, der seine C++-Ransomware-Nutzlast verschlüsselt.
Laut Intezer war Malware, die Go nutzte, vor 2019 ein seltenes Ereignis, aber jetzt ist die Programmiersprache eine beliebte Option, da Code schnell für mehrere Plattformen kompiliert werden kann und es schwierig ist, einen Reverse-Engineering durchzuführen. Die Abtastraten sind in den letzten Jahren um etwa 2.000 % gestiegen.
Die Stichprobe von CrowdStrike verwendet die neueste Version von Golang, v.1.16, die im Februar 2021 veröffentlicht wurde.
„Obwohl von Golang geschriebene Malware und Packer nicht neu sind, erschwert die Kompilierung mit dem neuesten Golang die Fehlersuche für Malware-Forscher“, stellt CrowdStrike fest. “Das liegt daran, dass alle notwendigen Bibliotheken statisch gelinkt und in der Compiler-Binärdatei enthalten sind und die Wiederherstellung des Funktionsnamens schwierig ist.”
Neben der Verwendung von Go enthält das Beispiel typische Funktionen von Ransomware – darunter die Möglichkeit, Dateien und Datenträger zu verschlüsseln sowie eine Zahlungsaufforderung gegen einen Entschlüsselungsschlüssel zu stellen.
Die Lösegeldforderung leitet die Opfer an eine Tor-Adresse für eine direkte Chat-Sitzung mit den Betreibern der Malware und behauptet auch, mehr als 1 TB an personenbezogenen Daten gestohlen zu haben, was darauf hindeutet, dass die Entwickler möglicherweise versuchen, “doppelte Erpressung” zu versuchen: Wenn ein Opfer die Zahlung verweigert, werden sie werden mit dem Durchsickern ihrer Informationen bedroht.
Anfang dieses Monats veröffentlichte das Bedrohungsforschungsteam von BlackBerry einen Bericht über ChaChi, einen in Go geschriebenen Trojaner, der verwendet wurde, um französische Regierungsbehörden und in jüngerer Zeit den US-amerikanischen Bildungssektor anzugreifen.
Frühere und verwandte Berichterstattung
Diese neue Ransomware-Gruppe behauptet, bisher über 30 Organisationen verletzt zu haben
Cyber-Versicherungen helfen nicht bei der Cybersicherheit und könnten die Ransomware-Krise verschlimmern. sagen Forscher
Die Kosten für Ransomware-Angriffe weltweit werden in den nächsten zehn Jahren auf über 265 Milliarden US-Dollar steigen
Hast du einen Tipp? Sichere Kontaktaufnahme über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 