Ny ransomware i Rust presser danske sikkerhedsfolk: »Alle har været nødt til at skifte gear«

22. februar 2022 kl. 03:4510
Ny ransomware i Rust presser danske sikkerhedsfolk: »Alle har været nødt til at skifte gear«
Illustration: Marco Verch | Flickr.
Flere kilder oplyser til Version2, at den nye ransomware-platform BlackCat allerede har skabt problemer i Danmark. Vi ser nærmere på den nye trussel.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Efter en lille nedgang i aktiviteten fra ransomwarekartellerne er de igen tilbage - denne gang med et nyt trick i ærmet. Sådan lyder vurderingen fra Lars Birch, der som sikkerhedskonsulent hos Dubex har gennemgået ransomwarekartellernes nyste påfund:

BlackCat.

Denne nyeste ransomwarevariant er skrevet i Rust - og det gør den særligt besværlig at opdage og analysere.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
10 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
24. februar 2022 kl. 19:11

Hej Søren,

Ja, der er en del sprog, der kan skabe programmer, der kan køre på flere forskellige platforme. Med Rust gælder det, at en binary til Windows ikke kan køre på Linux og omvendt (modsætning fx til Java bytecode).

Det interessante omkring Rust er i mine øjne, at:

  • Rust nu er blevet så mainstream, at også malware-udviklerne bruger det.
  • Rust binaries er anderledes for it-sikkerhedsfolkene at reverse engineer'e, og det er angivelig en udfordring for dem.

PS: Ligegyldigt hvilket sprog der er tale om, vil der imidlertid skulle være én eller anden svaghed et sted, som gør, at ransomware'en kan spredes. Og mht. BlackCat er det desværre uklart, hvordan den spreder sig, synes jeg.

9
24. februar 2022 kl. 19:02

Troels Arvin> Du har ret - jeg var lidt vel hurtig, så jeg har søgt lidt mere og bl.a. fundet dette:

"Rust has been around for some time, [and is] not as popular as other programming languages, but it's gaining notoriety because it is fast and memory-efficient — two things that may be of interest to ransomware operators," Santos says.</p>
<p>The use of Rust allows the malware to run on both Windows and Linux systems and allows the developers to create individualized campaigns, Palo Alto Networks stated in its analysis.

https://www.darkreading.com/threat-intelligence/aggressive-blackcat-ransomware-on-the-rise

8
23. februar 2022 kl. 14:00

Søren Ploug, jeg synes, at Bleepingcomputer artiklen handler om LockBit og ikke BlackCat. Ydermere læser jeg artiklen som, at det står, at LockBit angriber en VMWare-sårbarhed, og ikke en Linux-sårbarhed. Har jeg misforstået noget?

6
23. februar 2022 kl. 06:24

Rust er et relativt ungt programmeringssprog, det giver nogle udfordringer fordi den typiske reverse engineer ikke er familiær med den måde den kompiler på. Dertil er der heller ikke så mange andre der har kigget på det så det kan være svært at finde gode eksempler på prior art. Der er f.eks. ikke nogle gode decompilere, og de scripts man måtte have lavet til automatisk analyse virker måske heller ikke så der skal startes forfra med at forstå hnvordan kompileren til Rust fungerer.

Det vanskeliggører også særligt atribution hvor man prøver at spore hvilken gruppe der står bag, da man ikke kan forvente at kunne genkende den måde de skriver deres kode på.

4
22. februar 2022 kl. 17:10

Skal vi gætte - de sædvanlige?

Så måske Danilos dødsstraf hellere skulle gå til dem der bliver ved og ved med at lave kriminelt dårlig software.

3
22. februar 2022 kl. 16:16

Denne nyeste ransomwarevariant er skrevet i Rust - og det gør den særligt besværlig at opdage og analysere.

Hvorfor er det mere besværligt, når den er skrevet i Rust?

2
22. februar 2022 kl. 15:28

Det ville være rart at få oplyst hvilke systemer, der rammes af denne ransomware !

1
22. februar 2022 kl. 14:32

burde der måske ikke være for disse kriminelle bagmænd, men 20 års fængsel måske ville afskrække flere bagmænd. Det kan være en meget bekostelig affære at blive ramt af ransomware og ødelæggende for et firma. På den anden side, så afslører disse angreb jo også sårbarhederne i programmer, sårbarheder som ikke burde være tilstede i det hele taget.