Die Betreiber der RansomExx-Ransomware haben nach BlackCat, Hive und Luna als letzte eine neue Variante entwickelt, die vollständig in der Programmiersprache Rust geschrieben wurde.
Die neueste Version, die von dem als Hive0091 (alias DefrayX) bekannten Bedrohungsakteur als RansomExx2 bezeichnet wird, ist in erster Linie für das Linux-Betriebssystem konzipiert, obwohl erwartet wird, dass in Zukunft eine Windows-Version veröffentlicht wird.
RansomExx, auch bekannt als Defray777 und Ransom X, ist eine Ransomware-Familie, von der bekannt ist, dass sie seit 2018 aktiv ist. Seitdem wurde sie mit einer Reihe von Angriffen auf Regierungsbehörden, Hersteller und andere hochrangige Unternehmen wie Embraer und GIGABYTE in Verbindung gebracht.
„In Rust geschriebene Malware profitiert oft von niedrigeren [antivirus] Entdeckungsraten (im Vergleich zu solchen, die in gängigeren Sprachen geschrieben sind), und dies könnte der Hauptgrund für die Verwendung dieser Sprache gewesen sein“, so Charlotte Hammond, Forscherin bei IBM Security X-Force, in einem diese Woche veröffentlichten Bericht.
RansomExx2 ähnelt funktional seinem C++-Vorgänger und akzeptiert eine Liste von zu verschlüsselnden Zielverzeichnissen als Befehlszeileneingabe.
Nach der Ausführung durchläuft die Ransomware rekursiv jedes der angegebenen Verzeichnisse und verschlüsselt anschließend die Dateien mit dem AES-256-Algorithmus.
Nach Abschluss des Schritts wird in jedem der verschlüsselten Verzeichnisse ein Erpresserbrief mit der Forderung abgelegt.
Die Entwicklung veranschaulicht einen neuen Trend, bei dem immer mehr böswillige Akteure Malware und Ransomware mit weniger bekannten Programmiersprachen wie Rust und Go erstellen, die nicht nur eine größere plattformübergreifende Flexibilität bieten, sondern sich auch der Erkennung entziehen können.
„RansomExx ist eine weitere große Ransomware-Familie, die im Jahr 2022 auf Rust umgestellt wird“, erklärte Hammond.
„Auch wenn diese jüngsten Änderungen von RansomExx keine wesentliche Verbesserung der Funktionalität darstellen, deutet der Wechsel zu Rust darauf hin, dass sich die Gruppe weiterhin auf die Entwicklung und Innovation der Ransomware konzentriert und weiterhin versucht, sich der Erkennung zu entziehen.“
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com