Ny ransomware i Rust presser danske sikkerhedsfolk: »Alle har været nødt til at skifte gear«

Hej Søren,

Ja, der er en del sprog, der kan skabe programmer, der kan køre på flere forskellige platforme. Med Rust gælder det, at en binary til Windows ikke kan køre på Linux og omvendt (modsætning fx til Java bytecode).

Det interessante omkring Rust er i mine øjne, at:

• Rust nu er blevet så mainstream, at også malware-udviklerne bruger det.
• Rust binaries er anderledes for it-sikkerhedsfolkene at reverse engineer'e, og det er angivelig en udfordring for dem.

PS: Ligegyldigt hvilket sprog der er tale om, vil der imidlertid skulle være én eller anden svaghed et sted, som gør, at ransomware'en kan spredes. Og mht. BlackCat er det desværre uklart, hvordan den spreder sig, synes jeg.

Troels Arvin> Du har ret - jeg var lidt vel hurtig, så jeg har søgt lidt mere og bl.a. fundet dette:

"Rust has been around for some time, [and is] not as popular as other programming languages, but it's gaining notoriety because it is fast and memory-efficient — two things that may be of interest to ransomware operators," Santos says.</p>
<p>The use of Rust allows the malware to run on both Windows and Linux systems and allows the developers to create individualized campaigns, Palo Alto Networks stated in its analysis.

https://www.darkreading.com/threat-intelligence/aggressive-blackcat-ransomware-on-the-rise

Søren Ploug, jeg synes, at Bleepingcomputer artiklen handler om LockBit og ikke BlackCat. Ydermere læser jeg artiklen som, at det står, at LockBit angriber en VMWare-sårbarhed, og ikke en Linux-sårbarhed. Har jeg misforstået noget?

Rust er et relativt ungt programmeringssprog, det giver nogle udfordringer fordi den typiske reverse engineer ikke er familiær med den måde den kompiler på. Dertil er der heller ikke så mange andre der har kigget på det så det kan være svært at finde gode eksempler på prior art. Der er f.eks. ikke nogle gode decompilere, og de scripts man måtte have lavet til automatisk analyse virker måske heller ikke så der skal startes forfra med at forstå hnvordan kompileren til Rust fungerer.</p>
<p>Det vanskeliggører også særligt atribution hvor man prøver at spore hvilken gruppe der står bag, da man ikke kan forvente at kunne genkende den måde de skriver deres kode på.

Ok, så det kunne være ethvert andet nyt programmeringssprog, det er blot pga. manglende kendskab. Jeg troede der var noget specifikt ved Rust.

Rust er et relativt ungt programmeringssprog, det giver nogle udfordringer fordi den typiske reverse engineer ikke er familiær med den måde den kompiler på. Dertil er der heller ikke så mange andre der har kigget på det så det kan være svært at finde gode eksempler på prior art. Der er f.eks. ikke nogle gode decompilere, og de scripts man måtte have lavet til automatisk analyse virker måske heller ikke så der skal startes forfra med at forstå hnvordan kompileren til Rust fungerer.

Det vanskeliggører også særligt atribution hvor man prøver at spore hvilken gruppe der står bag, da man ikke kan forvente at kunne genkende den måde de skriver deres kode på.

Jeg fandt lidt om emnet her: https://www.bleepingcomputer.com/news/security/fbi-shares-lockbit-ransomware-technical-details-defense-tips/

Skal vi gætte - de sædvanlige?

Så måske Danilos dødsstraf hellere skulle gå til dem der bliver ved og ved med at lave kriminelt dårlig software.

Denne nyeste ransomwarevariant er skrevet i Rust - og det gør den særligt besværlig at opdage og analysere.

Hvorfor er det mere besværligt, når den er skrevet i Rust?

Det ville være rart at få oplyst hvilke systemer, der rammes af denne ransomware !

burde der måske ikke være for disse kriminelle bagmænd, men 20 års fængsel måske ville afskrække flere bagmænd. Det kan være en meget bekostelig affære at blive ramt af ransomware og ødelæggende for et firma. På den anden side, så afslører disse angreb jo også sårbarhederne i programmer, sårbarheder som ikke burde være tilstede i det hele taget.