Ny ransomware i Rust presser danske sikkerhedsfolk: »Alle har været nødt til at skifte gear«

Ny ransomware i Rust presser danske sikkerhedsfolk: »Alle har været nødt til at skifte gear«
Illustration: Marco Verch | Flickr.
Flere kilder oplyser til Version2, at den nye ransomware-platform BlackCat allerede har skabt problemer i Danmark. Vi ser nærmere på den nye trussel.
22. februar kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Efter en lille nedgang i aktiviteten fra ransomwarekartellerne er de igen tilbage - denne gang med et nyt trick i ærmet. Sådan lyder vurderingen fra Lars Birch, der som sikkerhedskonsulent hos Dubex har gennemgået ransomwarekartellernes nyste påfund:

BlackCat.

Denne nyeste ransomwarevariant er skrevet i Rust - og det gør den særligt besværlig at opdage og analysere.

»Alle antivirusleverandører har været nødt til at skifte gear, og de folk, der har siddet og skilt softwaren ad for at se, hvordan den virker, har haft en anelse sværere ved at læse koden sammenlignet med de mere gængse ransomware-varianter,« siger Lars Birch, der har reverse engineeret dele af BlackCat-koden.

Han bekræfter samtidig, at der er set angreb med BlackCat i Danmark, men vil ikke sige præcis hvem der har mærket den nye ransomware-variant på egne systemer.

Nemt at bruge

Ud over at være det eneste moderne ransomware-program skrevet i Rust udmærker BlackCat sig ved at være utroligt simpelt at bruge:

»Du skal kun kunne én ting for at kunne bruge det her. Nemlig fodre den med data som du finder eller køber online og så kører du. Den finder selv filerne der skal krypteres og så videre,« siger Lars Birch.

Blandt andet derfor vurderer han, at vi i Danmark vil se meget mere til BlackCat - også fremadrettet. Den brugernemme software er nemlig allerede en hyldevare i det kriminelle miljø.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
10
24. februar kl. 19:11

Hej Søren,

Ja, der er en del sprog, der kan skabe programmer, der kan køre på flere forskellige platforme. Med Rust gælder det, at en binary til Windows ikke kan køre på Linux og omvendt (modsætning fx til Java bytecode).

Det interessante omkring Rust er i mine øjne, at:

  • Rust nu er blevet så mainstream, at også malware-udviklerne bruger det.
  • Rust binaries er anderledes for it-sikkerhedsfolkene at reverse engineer'e, og det er angivelig en udfordring for dem.

PS: Ligegyldigt hvilket sprog der er tale om, vil der imidlertid skulle være én eller anden svaghed et sted, som gør, at ransomware'en kan spredes. Og mht. BlackCat er det desværre uklart, hvordan den spreder sig, synes jeg.

9
24. februar kl. 19:02

Troels Arvin> Du har ret - jeg var lidt vel hurtig, så jeg har søgt lidt mere og bl.a. fundet dette:

"Rust has been around for some time, [and is] not as popular as other programming languages, but it's gaining notoriety because it is fast and memory-efficient — two things that may be of interest to ransomware operators," Santos says.</p>
<p>The use of Rust allows the malware to run on both Windows and Linux systems and allows the developers to create individualized campaigns, Palo Alto Networks stated in its analysis.

https://www.darkreading.com/threat-intelligence/aggressive-blackcat-ransomware-on-the-rise

8
23. februar kl. 14:00

Søren Ploug, jeg synes, at Bleepingcomputer artiklen handler om LockBit og ikke BlackCat. Ydermere læser jeg artiklen som, at det står, at LockBit angriber en VMWare-sårbarhed, og ikke en Linux-sårbarhed. Har jeg misforstået noget?

6
23. februar kl. 06:24

Rust er et relativt ungt programmeringssprog, det giver nogle udfordringer fordi den typiske reverse engineer ikke er familiær med den måde den kompiler på. Dertil er der heller ikke så mange andre der har kigget på det så det kan være svært at finde gode eksempler på prior art. Der er f.eks. ikke nogle gode decompilere, og de scripts man måtte have lavet til automatisk analyse virker måske heller ikke så der skal startes forfra med at forstå hnvordan kompileren til Rust fungerer.

Det vanskeliggører også særligt atribution hvor man prøver at spore hvilken gruppe der står bag, da man ikke kan forvente at kunne genkende den måde de skriver deres kode på.

4
22. februar kl. 17:10

Skal vi gætte - de sædvanlige?

Så måske Danilos dødsstraf hellere skulle gå til dem der bliver ved og ved med at lave kriminelt dårlig software.

3
22. februar kl. 16:16

Denne nyeste ransomwarevariant er skrevet i Rust - og det gør den særligt besværlig at opdage og analysere.

Hvorfor er det mere besværligt, når den er skrevet i Rust?

2
22. februar kl. 15:28

Det ville være rart at få oplyst hvilke systemer, der rammes af denne ransomware !

1
22. februar kl. 14:32

burde der måske ikke være for disse kriminelle bagmænd, men 20 års fængsel måske ville afskrække flere bagmænd. Det kan være en meget bekostelig affære at blive ramt af ransomware og ødelæggende for et firma. På den anden side, så afslører disse angreb jo også sårbarhederne i programmer, sårbarheder som ikke burde være tilstede i det hele taget.