Programmeertaal Go biedt makers ransomware grote voordelen

De snelgroeiende populariteit van Go onder criminelen werd al in februari gesignaleerd door IT-beveiliger Intezer en ZDNet. Intezer merkt op dat de eerste malware die is geschreven met Go uit 2012 stamt, maar dat het gebruik van Go tot 2019 echt een zeldzaamheid was. Sindsdien is het aantal gevallen waarbij Go een rol speelt met 2000% toegenomen.

IT-beveiliger CrowdStrike ontdekte onlangs een nieuwe ransomwarevariant die deze gesignaleerde trend ondersteunt. De nieuwe variant die CrowdStrike nog niet van een naam heeft voorzien maakt gebruik van een combinatie van eigenschappen van de oudere ransomwarestrengen HelloKitty (ook bekend als DeathRansom) en FiveHands.

Opmerkelijk is dat de code van de oudere ransomware - geschreven in C++ - gebundeld is met een 'packer' die is geschreven met een Golang-versie uit februari 2021. Die packer zorgt ervoor dat de kern van de ransomwarecode wordt versleuteld. De executable packer heeft een unieke encryptiesleutel nodig om zijn lading weg te schrijven in het geheugen. Deze aanpak maakt het voor anti-malwaresoftware erg lastig om te detecteren welke 'ransomwarelading' het systeem probeert binnen te dringen.

Golang maakt het complex

Het gebruik van de Golang-packer maakt het bovendien voor malware-onderzoekers extra complex om de ransomwarecode te ontcijferen, stelt CrowdStrike. Alle noodzakelijke libraries zijn statisch aan elkaar gekoppeld en in de compiler binary opgenomen. Het terughalen van de functienamen is daardoor erg ingewikkeld.

Wanneer de nieuwe variant eenmaal actief is op een systeem komen de bekende ransomwaretrucs tot uiting, zoals het versleutelen van harde schijven en bestanden. Ook verschijnt een mededeling waarin gevraagd wordt om losgeld in ruil voor de sleutel om de bestanden weer bruikbaar te maken. Er kan via een Tor-adres direct worden gecommuniceerd met de aanvallers. Tevens bevat de bijgaande notitie een waarschuwing dat 1 TB aan data is gestolen. Daar gaat de dreiging van uit dat de criminelen de data openbaar gaan maken wanneer het slachtoffer niet met losgeld over de brug komt.