Ny ransomware i Rust presser danske sikkerhedsfolk: »Alle har været nødt til at skifte gear«
Efter en lille nedgang i aktiviteten fra ransomwarekartellerne er de igen tilbage - denne gang med et nyt trick i ærmet. Sådan lyder vurderingen fra Lars Birch, der som sikkerhedskonsulent hos Dubex har gennemgået ransomwarekartellernes nyste påfund:
BlackCat.
Denne nyeste ransomwarevariant er skrevet i Rust - og det gør den særligt besværlig at opdage og analysere.
»Alle antivirusleverandører har været nødt til at skifte gear, og de folk, der har siddet og skilt softwaren ad for at se, hvordan den virker, har haft en anelse sværere ved at læse koden sammenlignet med de mere gængse ransomware-varianter,« siger Lars Birch, der har reverse engineeret dele af BlackCat-koden.
Han bekræfter samtidig, at der er set angreb med BlackCat i Danmark, men vil ikke sige præcis hvem der har mærket den nye ransomware-variant på egne systemer.
Nemt at bruge
Ud over at være det eneste moderne ransomware-program skrevet i Rust udmærker BlackCat sig ved at være utroligt simpelt at bruge:
»Du skal kun kunne én ting for at kunne bruge det her. Nemlig fodre den med data som du finder eller køber online og så kører du. Den finder selv filerne der skal krypteres og så videre,« siger Lars Birch.
Blandt andet derfor vurderer han, at vi i Danmark vil se meget mere til BlackCat - også fremadrettet. Den brugernemme software er nemlig allerede en hyldevare i det kriminelle miljø.
Hej Søren,
Ja, der er en del sprog, der kan skabe programmer, der kan køre på flere forskellige platforme. Med Rust gælder det, at en binary til Windows ikke kan køre på Linux og omvendt (modsætning fx til Java bytecode).
Det interessante omkring Rust er i mine øjne, at:
PS: Ligegyldigt hvilket sprog der er tale om, vil der imidlertid skulle være én eller anden svaghed et sted, som gør, at ransomware'en kan spredes. Og mht. BlackCat er det desværre uklart, hvordan den spreder sig, synes jeg.
Troels Arvin> Du har ret - jeg var lidt vel hurtig, så jeg har søgt lidt mere og bl.a. fundet dette:
https://www.darkreading.com/threat-intelligence/aggressive-blackcat-ransomware-on-the-rise
Søren Ploug, jeg synes, at Bleepingcomputer artiklen handler om LockBit og ikke BlackCat. Ydermere læser jeg artiklen som, at det står, at LockBit angriber en VMWare-sårbarhed, og ikke en Linux-sårbarhed. Har jeg misforstået noget?
Ok, så det kunne være ethvert andet nyt programmeringssprog, det er blot pga. manglende kendskab. Jeg troede der var noget specifikt ved Rust.
Rust er et relativt ungt programmeringssprog, det giver nogle udfordringer fordi den typiske reverse engineer ikke er familiær med den måde den kompiler på. Dertil er der heller ikke så mange andre der har kigget på det så det kan være svært at finde gode eksempler på prior art. Der er f.eks. ikke nogle gode decompilere, og de scripts man måtte have lavet til automatisk analyse virker måske heller ikke så der skal startes forfra med at forstå hnvordan kompileren til Rust fungerer.
Det vanskeliggører også særligt atribution hvor man prøver at spore hvilken gruppe der står bag, da man ikke kan forvente at kunne genkende den måde de skriver deres kode på.
Jeg fandt lidt om emnet her: https://www.bleepingcomputer.com/news/security/fbi-shares-lockbit-ransomware-technical-details-defense-tips/
Skal vi gætte - de sædvanlige?
Så måske Danilos dødsstraf hellere skulle gå til dem der bliver ved og ved med at lave kriminelt dårlig software.
Hvorfor er det mere besværligt, når den er skrevet i Rust?
Det ville være rart at få oplyst hvilke systemer, der rammes af denne ransomware !
burde der måske ikke være for disse kriminelle bagmænd, men 20 års fængsel måske ville afskrække flere bagmænd. Det kan være en meget bekostelig affære at blive ramt af ransomware og ødelæggende for et firma. På den anden side, så afslører disse angreb jo også sårbarhederne i programmer, sårbarheder som ikke burde være tilstede i det hele taget.