DECAF Ransomware
DECAF Ransomware muestra la creciente tendencia entre los ciberdelincuentes a alejarse de los lenguajes de programación típicos en favor de opciones menos populares o exóticas. El objetivo es aumentar las posibilidades de sus creaciones amenazantes para evitar ser detectadas por soluciones anti-malware y de ciberseguridad. Una de las opciones emergentes en el panorama de amenazas, y la que se utilizó en la creación de DECAF es Go, un lenguaje de código abierto, orientado a objetos y multiplataforma. Otras amenazas de ransomware que también se escribieron con Go son Babuk, HelloKitty y Hive.
Funcionalidad Dañina
Cuando se implementa en los sistemas comprometidos, DECAF Ransomware iniciará su proceso de cifrado que bloqueará los datos de la víctima. La amenaza se basa en un mecanismo de filtrado de archivos para evitar causar daños irreparables al sistema operativo o el doble cifrado de los archivos.accidentalmente. Como tal, escanea y luego ignora todos los archivos que llevan una extensión '.decaf', llamada README.txt, o que coinciden con una lista incrustada de archivos, carpetas y extensiones elegidas por los atacantes.
Una vez que se ha creado la copia encriptada de cada archivo de destino, el original debe borrarse del sistema. Para asegurarse de que las víctimas no puedan restaurar los originales, DECAF usa cipher.exe, que se llama para cada directorio y tiene la tarea de sobrescribir los datos eliminados allí. La nota de rescate de la amenaza se coloca como un archivo README.txt y se colocará una copia dentro de cada carpeta que contiene los archivos cifrados.
En Desarrollo Activo
Según los expertos de infosec, el DECAF Ransomware todavía se está desarrollandorápidamente con los ciberdelincuentes agregando más funciones y técnicas anti-detección. Las modificaciones se pueden ver claramente comparando la versión de depuración inicial que fue capturada por la versión preliminar de DECAF. Los atacantes aumentaron la complejidad de la amenaza al agregar la ofuscación de cadenas. Las cadenas ocultas se eliminan a través de diferentes funciones personalizadas en tiempo de ejecución. Ya se han observado varias versiones nuevas de DECAF circulando en la naturaleza. Para proteger su infraestructura crítica, las empresas deben ajustar sus políticas de ciberseguridad para tener en cuenta los patrones de ataque cambiantes de los actores de amenazas.
