Những kẻ điều hành mã độc tống tiền RansomExx đã trở thành kẻ mới nhất phát triển một biến thể mới được viết lại hoàn toàn bằng ngôn ngữ lập trình Rust, theo sau các chủng khác như BlackCat, Hive và Luna.
Phiên bản mới nhất, được đặt tên là RansomExx2 bởi tác nhân đe dọa có tên Hive0091 (hay còn gọi là DefrayX), chủ yếu được thiết kế để chạy trên hệ điều hành Linux, mặc dù phiên bản dành cho Windows sẽ được phát hành trong tương lai.
RansomExx, còn được gọi là Defray777 và Ransom X, là một họ ransomware được biết là hoạt động từ năm 2018. Kể từ đó, nó có liên quan đến một số cuộc tấn công vào các cơ quan chính phủ, nhà sản xuất và các tổ chức nổi tiếng khác như Embraer và GIGABYTE.
“Phần mềm độc hại được viết bằng Rust thường được hưởng lợi từ phiên bản thấp hơn [antivirus] nhà nghiên cứu Charlotte Hammond của IBM Security X-Force cho biết trong một báo cáo được công bố trong tuần này.
RansomExx2 có chức năng tương tự như người tiền nhiệm C++ của nó và nó lấy một danh sách các thư mục đích để mã hóa làm đầu vào dòng lệnh.
Sau khi được thực thi, phần mềm tống tiền sẽ đi qua từng thư mục được chỉ định một cách đệ quy, tiếp theo là liệt kê và mã hóa các tệp bằng thuật toán AES-256.
Cuối cùng, một ghi chú đòi tiền chuộc có chứa yêu cầu sẽ được gửi vào mỗi thư mục được mã hóa sau khi hoàn thành bước này.
sự phát triển minh họa một xu hướng mới trong đó ngày càng có nhiều tác nhân độc hại đang xây dựng phần mềm độc hại và mã độc tống tiền bằng các ngôn ngữ lập trình ít được biết đến hơn như Rust và Go, không chỉ mang lại tính linh hoạt đa nền tảng mà còn có thể tránh bị phát hiện.
“RansomExx là một dòng ransomware lớn khác sẽ chuyển sang Rust vào năm 2022,” Hammond giải thích.
“Mặc dù những thay đổi mới nhất này của RansomExx có thể không đại diện cho một nâng cấp đáng kể về chức năng, nhưng việc chuyển sang Rust cho thấy nhóm tiếp tục tập trung vào phát triển và đổi mới ransomware, đồng thời tiếp tục cố gắng tránh bị phát hiện.”
