Исследователи угроз IBM Security X-Force обнаружили новый вариант вымогательского ПО RansomExx, который был переписан на языке программирования Rust, присоединившись к растущей тенденции перехода разработчиков вымогательского ПО на этот язык.
RansomExx Ransomware
Вредоносные программы, написанные на Rust, часто имеют более низкие показатели обнаружения антивирусными программами (по сравнению с программами, написанными на более распространенных языках), и это могло стать основной причиной использования данного языка. Например, образец, анализируемый в данном отчете, не был обнаружен как вредоносный на платформе VirusTotal в течение как минимум 2 недель после его первоначальной отправки. На момент написания отчета новый образец был обнаружен только 14 из 60 с лишним поставщиков антивирусных услуг, представленных на платформе.
RansomExx управляется группой угроз DefrayX (Hive0091), которая также известна вредоносным ПО PyXie, загрузчиком Vatet и штаммами Defray ransomware. Недавно обнаруженная версия ransomware получила название RansomExx2, согласно строкам, найденным в ней, и предназначена для работы в операционной системе Linux. Исторически сложилось так, что группа выпускает версии своих вымогательских программ для Linux и Windows, поэтому вполне вероятно, что версия для Windows также находится в разработке.
RansomExx2 был полностью переписан с использованием Rust, но в остальном его функциональность аналогична его предшественнику на C++. Он требует передачи списка целевых каталогов для шифрования в качестве параметров командной строки, а затем шифрует файлы с помощью AES-256, причем для защиты ключей шифрования используется RSA.
В течение последнего года популярность языка программирования Rust среди разработчиков вредоносных программ неуклонно росла благодаря его кроссплатформенной поддержке и низкому уровню обнаружения антивирусными программами. Как и язык программирования Go, который в последние несколько лет также активно используется субъектами угроз, процесс компиляции Rust приводит к созданию более сложных двоичных файлов, анализ которых может занять больше времени у реверс-инженеров.
Несколько разработчиков программ-вымогателей выпустили Rust-версии своих вредоносных программ, включая BlackCat, Hive и Zeon, а RansomExx2 стал последним дополнением. X-Force также проанализировала криптер ITG23, написанный на Rust, а также семейство бэкдоров и загрузчиков CargoBay.
RansomEXX Ransomware IOCs
Indicators of Compromise
IPv4 Port Combinations
- 192.154.135.196:23
- 60.12.168.146:23
Domains
- rnsm777cdsjrsdlbs4v5qoeppu3px6sb2igmh53jzrx7ipcrbjz5b2ad.onion
MD5
- 377c6292e0852afeb4bd22ca78000685
SHA1
- 4fd0a5d1f5dd5c4de31c372e23dc148982ac153d
SHA256
- a7ea1e33c548182b8e56e32b547afb4b384ebe257ca0672dbf72569a54408c5c