RansomExx Ransomware IOCs - Part 2

ransomware IOC

Исследователи угроз IBM Security X-Force обнаружили новый вариант вымогательского ПО RansomExx, который был переписан на языке программирования Rust, присоединившись к растущей тенденции перехода разработчиков вымогательского ПО на этот язык.

RansomExx Ransomware

Вредоносные программы, написанные на Rust, часто имеют более низкие показатели обнаружения антивирусными программами (по сравнению с программами, написанными на более распространенных языках), и это могло стать основной причиной использования данного языка. Например, образец, анализируемый в данном отчете, не был обнаружен как вредоносный на платформе VirusTotal в течение как минимум 2 недель после его первоначальной отправки. На момент написания отчета новый образец был обнаружен только 14 из 60 с лишним поставщиков антивирусных услуг, представленных на платформе.

RansomExx управляется группой угроз DefrayX (Hive0091), которая также известна вредоносным ПО PyXie, загрузчиком Vatet и штаммами Defray ransomware. Недавно обнаруженная версия ransomware получила название RansomExx2, согласно строкам, найденным в ней, и предназначена для работы в операционной системе Linux. Исторически сложилось так, что группа выпускает версии своих вымогательских программ для Linux и Windows, поэтому вполне вероятно, что версия для Windows также находится в разработке.

RansomExx2 был полностью переписан с использованием Rust, но в остальном его функциональность аналогична его предшественнику на C++. Он требует передачи списка целевых каталогов для шифрования в качестве параметров командной строки, а затем шифрует файлы с помощью AES-256, причем для защиты ключей шифрования используется RSA.

В течение последнего года популярность языка программирования Rust среди разработчиков вредоносных программ неуклонно росла благодаря его кроссплатформенной поддержке и низкому уровню обнаружения антивирусными программами. Как и язык программирования Go, который в последние несколько лет также активно используется субъектами угроз, процесс компиляции Rust приводит к созданию более сложных двоичных файлов, анализ которых может занять больше времени у реверс-инженеров.

Несколько разработчиков программ-вымогателей выпустили Rust-версии своих вредоносных программ, включая BlackCat, Hive и Zeon, а RansomExx2 стал последним дополнением. X-Force также проанализировала криптер ITG23, написанный на Rust, а также семейство бэкдоров и загрузчиков CargoBay.

RansomEXX Ransomware IOCs

Indicators of Compromise

IPv4 Port Combinations

  • 192.154.135.196:23
  • 60.12.168.146:23

Domains

  • rnsm777cdsjrsdlbs4v5qoeppu3px6sb2igmh53jzrx7ipcrbjz5b2ad.onion

MD5

  • 377c6292e0852afeb4bd22ca78000685

SHA1

  • 4fd0a5d1f5dd5c4de31c372e23dc148982ac153d

SHA256

  • a7ea1e33c548182b8e56e32b547afb4b384ebe257ca0672dbf72569a54408c5c
SEC-1275-1
Добавить комментарий