Overslaan en naar de inhoud gaan

Programmeertaal Go biedt makers ransomware grote voordelen

Het gebruik van de programmeertaal Go (Golang) door programmeurs met criminele intenties is niet nieuw maar is de afgelopen jaren spectaculair gestegen. De reden is dat reverse engineering van gecompileerde code erg lastig is en de code heel makkelijk op verschillende platformen is uit te brengen.
boze ontwikkelaar
© Shutterstock
Shutterstock

De snelgroeiende populariteit van Go onder criminelen werd al in februari gesignaleerd door IT-beveiliger Intezer en ZDNet. Intezer merkt op dat de eerste malware die is geschreven met Go uit 2012 stamt, maar dat het gebruik van Go tot 2019 echt een zeldzaamheid was. Sindsdien is het aantal gevallen waarbij Go een rol speelt met 2000% toegenomen.

IT-beveiliger CrowdStrike ontdekte onlangs een nieuwe ransomwarevariant die deze gesignaleerde trend ondersteunt. De nieuwe variant die CrowdStrike nog niet van een naam heeft voorzien maakt gebruik van een combinatie van eigenschappen van de oudere ransomwarestrengen HelloKitty (ook bekend als DeathRansom) en FiveHands.

Opmerkelijk is dat de code van de oudere ransomware - geschreven in C++ - gebundeld is met een 'packer' die is geschreven met een Golang-versie uit februari 2021. Die packer zorgt ervoor dat de kern van de ransomwarecode wordt versleuteld. De executable packer heeft een unieke encryptiesleutel nodig om zijn lading weg te schrijven in het geheugen. Deze aanpak maakt het voor anti-malwaresoftware erg lastig om te detecteren welke 'ransomwarelading' het systeem probeert binnen te dringen.

Golang maakt het complex

Het gebruik van de Golang-packer maakt het bovendien voor malware-onderzoekers extra complex om de ransomwarecode te ontcijferen, stelt CrowdStrike. Alle noodzakelijke libraries zijn statisch aan elkaar gekoppeld en in de compiler binary opgenomen. Het terughalen van de functienamen is daardoor erg ingewikkeld.

Wanneer de nieuwe variant eenmaal actief is op een systeem komen de bekende ransomwaretrucs tot uiting, zoals het versleutelen van harde schijven en bestanden. Ook verschijnt een mededeling waarin gevraagd wordt om losgeld in ruil voor de sleutel om de bestanden weer bruikbaar te maken. Er kan via een Tor-adres direct worden gecommuniceerd met de aanvallers. Tevens bevat de bijgaande notitie een waarschuwing dat 1 TB aan data is gestolen. Daar gaat de dreiging van uit dat de criminelen de data openbaar gaan maken wanneer het slachtoffer niet met losgeld over de brug komt.

 

 

 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in