Los operadores del ransomware RansomExx se han convertido en los últimos en desarrollar una nueva variante completamente reescrita en el lenguaje de programación Rust, siguiendo otras cepas como BlackCat, Hive y Luna.
La última versión, denominada RansomExx2 por el actor de amenazas conocido como Hive0091 (también conocido como DefrayX), está diseñada principalmente para ejecutarse en el sistema operativo Linux, aunque se espera que se lance una versión de Windows en el futuro.
RansomExx, también conocido como Defray777 y Ransom X, es un Secuestro de datos familia se sabe que está activo desde 2018. Desde entonces, se ha relacionado con una serie de ataques contra agencias gubernamentales, fabricantes y otras entidades de alto perfil como Embraer y GIGABYTE.
“El malware escrito en Rust a menudo se beneficia de una menor [antivirus] tasas de detección (en comparación con los escritos en idiomas más comunes) y esta puede haber sido la razón principal para usar el lenguaje”, dijo Charlotte Hammond, investigadora de IBM Security X-Force. dijo en un informe publicado esta semana.
RansomExx2 es funcionalmente similar a su predecesor C++ y necesita una lista de directorios de destino para cifrar como entradas de la línea de comandos.
Una vez ejecutado, el ransomware pasa recursivamente a través de cada uno de los directorios especificados, luego enumera y encripta los archivos usando el Algoritmo AES-256.
Una nota de rescate que contiene la demanda finalmente se coloca en cada uno de los directorios cifrados al completar el paso.
El desarrollo ilustra una nueva tendencia en la que un número creciente de actores maliciosos están creando malware y ransomware con lenguajes de programación menos conocidos como Rust and Go, que no solo ofrecen una mayor flexibilidad multiplataforma sino que también pueden evadir la detección.
“RansomExx es otra familia importante de ransomware que cambiará a Rust en 2022”, explicó Hammond.
“Si bien estos últimos cambios de RansomExx pueden no representar una mejora significativa en la funcionalidad, el cambio a Rust sugiere un enfoque continuo en el desarrollo y la innovación del ransomware por parte del grupo, y los intentos continuos de evadir la detección”.