Nouvelle variante RansomExx Ransomware réécrite dans le langage de programmation Rust


Les opérateurs du ransomware RansomExx sont devenus les derniers à développer une nouvelle variante entièrement réécrite dans le langage de programmation Rust, à la suite d’autres souches comme BlackCat, Hive et Luna.

La dernière version, baptisée RansomExx2 par l’acteur menaçant connu sous le nom de Hive0091 (alias DefrayX), est principalement conçue pour fonctionner sur le système d’exploitation Linux, bien qu’il soit prévu qu’une version Windows soit publiée à l’avenir.

RansomExx, également connu sous le nom de Defray777 et Ransom X, est un rançongiciel famille qui est connu pour être actif depuis 2018. Il a depuis été lié à un certain nombre d’attaques contre des agences gouvernementales, des fabricants et d’autres entités de premier plan comme Embraer et GIGABYTE.

“Les logiciels malveillants écrits en Rust bénéficient souvent d’un [antivirus] taux de détection (par rapport à ceux écrits dans des langages plus courants) et cela peut avoir été la principale raison d’utiliser le langage », Charlotte Hammond, chercheuse chez IBM Security X-Force a dit dans un rapport publié cette semaine.

RansomExx2 est fonctionnellement similaire à son prédécesseur C++ et il faut une liste de répertoires cibles à chiffrer en tant qu’entrées de ligne de commande.

Une fois exécuté, le rançongiciel parcourt de manière récursive chacun des répertoires spécifiés, suivi de l’énumération et du chiffrement des fichiers à l’aide du Algorithme AES-256.

Une note de rançon contenant la demande est finalement déposée dans chacun des répertoires chiffrés à la fin de l’étape.

Le développement illustre une nouvelle tendance où un nombre croissant d’acteurs malveillants créent des logiciels malveillants et des rançongiciels avec des langages de programmation moins connus comme Rust et Go, qui offrent non seulement une flexibilité multiplateforme accrue, mais peuvent également échapper à la détection.

“RansomExx est une autre grande famille de ransomwares à passer à Rust en 2022”, a expliqué Hammond.

“Bien que ces derniers changements apportés par RansomExx ne représentent peut-être pas une mise à niveau significative des fonctionnalités, le passage à Rust suggère une concentration continue sur le développement et l’innovation du ransomware par le groupe, et des tentatives continues pour échapper à la détection.”



ttn-fr-57