RansomExx fidye yazılımının operatörleri, BlackCat, Hive ve Luna gibi diğer türlerin ardından Rust programlama dilinde tamamen yeniden yazılmış yeni bir varyant geliştiren en son kişiler oldular.

Hive0091 (diğer adıyla DefrayX) olarak bilinen tehdit aktörü tarafından RansomExx2 olarak adlandırılan en son sürüm, öncelikle Linux işletim sistemi üzerinde çalışacak şekilde tasarlanmıştır, ancak gelecekte bir Windows sürümünün piyasaya sürülmesi beklenebilir.

Defray777 ve Ransom X olarak da bilinen RansomExx, bir fidye yazılımı aile 2018’den beri aktif olduğu biliniyor. O zamandan beri devlet kurumlarına, üreticilere ve Embraer ve GIGABYTE gibi diğer yüksek profilli kuruluşlara yönelik bir dizi saldırıyla bağlantılı.

“Rust’ta yazılan kötü amaçlı yazılımlar genellikle daha düşük [antivirus] IBM Security X-Force araştırmacısı Charlotte Hammond, algılama oranları (daha yaygın dillerde yazılanlarla karşılaştırıldığında) ve bu, dili kullanmanın birincil nedeni olabilir.” söz konusu bu hafta yayınlanan bir raporda.

RansomExx2 işlevsel olarak C++ öncülüne benzer ve komut satırı girdileri olarak şifrelemek için hedef dizinlerin bir listesini alır.

Fidye yazılımı çalıştırıldıktan sonra, belirtilen dizinlerin her birini tekrar tekrar gözden geçirir, ardından dosyaları numaralandırır ve şifreler. AES-256 algoritması.

Adım tamamlandıktan sonra, talebi içeren bir fidye notu şifrelenmiş dizinlerin her birine nihai olarak bırakılır.

Gelişme, giderek artan sayıda kötü niyetli aktörün, yalnızca platformlar arası esnekliği artırmakla kalmayan, aynı zamanda tespit edilmekten de kurtulabilen Rust ve Go gibi daha az bilinen programlama dilleriyle kötü amaçlı yazılım ve fidye yazılımı oluşturduğu yeni bir trendi gösteriyor.

Hammond, “RansomExx, 2022’de Rust’a geçiş yapacak başka bir büyük fidye yazılımı ailesidir” dedi.

“RansomExx tarafından yapılan bu son değişiklikler, işlevsellikte önemli bir yükseltmeyi temsil etmese de, Rust’a geçiş, grup tarafından fidye yazılımının geliştirilmesine ve yeniliğine sürekli odaklanmayı ve tespit edilmekten kaçınma girişimlerini sürdürmeyi öneriyor.”



siber-2