DECAF Ransomware

Le DECAF Ransomware montre la tendance croissante des cybercriminels à s'éloigner des langages de programmation typiques au profit de choix moins populaires ou exotiques. L'objectif est d'augmenter les chances de leurs créations menaçantes pour éviter d'être détectées par les solutions anti-malware et de cybersécurité. L'un des choix émergents dans le paysage des menaces, et celui utilisé dans la création de DECAF est Go, un langage open source, orienté objet et multiplateforme. D' autres menaces ransomware qui ont également été écrits en utilisant Go sont Babuk, HelloKitty et Hive.

Fonctionnalité nocive

Lorsqu'il est déployé sur les systèmes compromis, le DECAF Ransomware lancera son processus de cryptage qui verrouillera les données de la victime. La menace repose sur un mécanisme de filtrage de fichiers pour éviter de causer des dommages irréparables au système d'exploitation ou de doubler le cryptage des fichiers.accidentellement. En tant que tel, il analyse puis ignore tous les fichiers portant une extension '.decaf', nommé README.txt, ou correspondant à une liste intégrée de fichiers, dossiers et extensions choisis par les attaquants.

Une fois la copie cryptée de chaque fichier ciblé créée, l'original doit être effacé du système. Pour s'assurer que les victimes ne pourront pas restaurer les originaux, DECAF utilise cipher.exe, qui est appelé pour chaque répertoire et chargé d'y écraser les données supprimées. La demande de rançon de la menace est supprimée en tant que fichier README.txt et une copie sera placée dans chaque dossier contenant les fichiers cryptés.

En cours de développement actif

Selon les experts d'infosec, le DECAF Ransomware est toujours en cours de développementrapidement avec les cybercriminels ajoutant plus de fonctionnalités et de techniques anti-détection. Les modifications peuvent être clairement vues en comparant la version de débogage initiale qui a été capturée par la version préliminaire de DECAF. Les attaquants ont augmenté la complexité de la menace en ajoutant l'obscurcissement des chaînes. Les chaînes cachées sont désobscurcies via différentes fonctions personnalisées lors de l'exécution. Plusieurs nouvelles versions du DECAF ont déjà été observées en circulation dans la nature. Pour protéger leur infrastructure critique, les entreprises doivent ajuster leurs politiques de cybersécurité pour tenir compte de l'évolution des schémas d'attaque des acteurs de la menace.