Actualitzacions de RansomExx a Rust

Actualitzacions de RansomExx a Rust

Els investigadors d’amenaces d’IBM Security X-Force han descobert una nova variant del ransomware RansomExx que s’ha reescrit en el llenguatge de programació Rust. unint-se a una tendència creixent de desenvolupadors de ransomware que canvien a l’idioma.

El programari maliciós escrit a Rust sovint es beneficia de taxes de detecció AV més baixes (en comparació amb les escrites en idiomes més comuns) i aquesta pot haver estat la raó principal per utilitzar l’idioma. Per exemple, la mostra analitzada en aquest informe no es va detectar com a maliciosa a la plataforma VirusTotal durant almenys 2 setmanes després de la seva presentació inicial. En el moment d’escriure aquest article, la nova mostra només la detecten 14 dels més de 60 proveïdors d’AV representats a la plataforma.

RansomExx està operat pel grup d’actors d’amenaça DefrayX (Hive0091), que també és conegut pel programari maliciós PyXie, el carregador Vatet i les soques de ransomware Defray. La versió de ransomware recentment descoberta s’anomena RansomExx2 segons les cadenes que es troben dins del ransomware i està dissenyada per funcionar al sistema operatiu Linux. Històricament, el grup ha llançat versions de Linux i Windows del seu ransomware, per la qual cosa és probable que també hi hagi una versió de Windows en procés.

RansomExx2 s’ha reescrit completament amb Rust, però en cas contrari, la seva funcionalitat és similar a la del seu predecessor C++. Requereix una llista de directoris de destinació per xifrar per passar com a paràmetres de línia d’ordres i després xifra els fitxers mitjançant AES-256, amb RSA utilitzat per protegir les claus de xifratge.

El llenguatge de programació Rust ha anat augmentant constantment en popularitat entre els desenvolupadors de programari maliciós durant l’últim any, gràcies al seu suport multiplataforma i a les baixes taxes de detecció AV. Com el llenguatge de programació Go, que té va experimentar un augment similar en l’ús dels actors d’amenaça durant els últims anys, el procés de compilació de Rust també dóna lloc a binaris més complexos que poden ser més llarg d’analitzar per a enginyeria inversa.

Diversos desenvolupadors de ransomware han llançat versions Rust del seu programari maliciós, com ara BlackCat, Hive i Zeon, sent RansomExx2 l’addició més recent. X-Force també ha analitzat un encriptador ITG23 escrit en Rust, juntament amb el Família de portes posteriors i descàrregues CargoBay.

Anàlisi

La mostra RansomExx2 recentment identificada té hash MD5 377C6292E0852AFEB4BD22CA78000685 i és un executable de Linux escrit en el llenguatge de programació Rust.

Les cadenes de ruta del codi font notables dins del binari indiquen que el ransomware és una variant de RansomExx i probablement s’anomena RansomExx2.

Desplaceu-vos per veure la taula completa

El lloc web gestionat pel grup de ransomware també s’ha actualitzat amb el títol de la pàgina que ara apareix com a “ransomexx2”.

Figura 1: una captura de pantalla del lloc web del grup de ransomware que mostra el títol de la pàgina configurat com a “ransomexx2”

En general, la funcionalitat d’aquesta variant de ransomware és molt similar a les variants anteriors de RansomExx Linux.

El ransomware espera rebre una llista de camins de directoris per xifrar com a entrada. Si no se li passen arguments, no xifra res. El ransomware requereix el següent format de línia d’ordres per executar-se correctament.

Desplaceu-vos per veure la taula completa

Un cop s’executa, el ransomware itera els directoris especificats, enumerant i xifrant fitxers. Tots els fitxers superiors o iguals a 40 bytes estan xifrats, a excepció de les notes de rescat i els fitxers xifrats anteriorment.

A cada fitxer xifrat se li dóna una nova extensió de fitxer. És habitual que les extensions de fitxer de ransomware RansomExx es basen en una variació del nom de l’empresa objectiu, de vegades seguides de números com ara “911” o caràcters aleatoris.

S’hi deixa una nota de rescat cada directori on es produeix el xifratge de fitxers. La nota de rescat s’anomena:

Desplaceu-vos per veure la taula completa

El contingut d’aquesta nota és el següent:

Desplaceu-vos per veure la taula completa

Els fitxers es xifren mitjançant AES-256 i una clau generada aleatòriament. La clau AES està xifrada mitjançant RSA i una clau pública codificada, i s’adjunta al final del fitxer xifrat. Com a resultat d’aquest mètode de xifratge, la clau privada RSA corresponent, en poder de l’atacant, seria necessària per desxifrar els fitxers.

La següent clau pública RSA es va utilitzar a la mostra analitzada:

Desplaceu-vos per veure la taula completa

Elements com la clau RSA, l’extensió de fitxer i el nom i el contingut de la nota de ransomware, es xifren dins del binari i es desxifren mitjançant l’extracció de les dades xifrades amb una clau de la mateixa mida.

Conclusió

X-Force avalua que és molt probable que més actors d’amenaça experimentin amb Rust en el futur. RansomExx és una altra família de ransomware important per canviar a Rust el 2022 (després d’esforços similars amb Hive i Blackcat). Tot i que aquests darrers canvis de RansomExx poden no representar una actualització significativa de la funcionalitat, el canvi a Rust suggereix un enfocament continuat en el desenvolupament i la innovació de el ransomware del grup i els intents continuats d’evadir la detecció.

Per reforçar els vostres coneixements i defenses contra el ransomware, IBM Security ha publicat la Guia definitiva del ransomware 2022.

Per programar una consulta gratuïta amb X-Force, feu clic aquí.

Si teniu problemes de ciberseguretat o un incident, poseu-vos en contacte amb X-Force per ajudar-vos: línia directa dels EUA 1-888-241-9812 | Línia directa global (+001) 312-212-8034.

Leave a Comment

Your email address will not be published. Required fields are marked *