RansomExx fidye yazılımının operatörleri, BlackCat, Hive ve Luna gibi diğer türlerin ardından Rust programlama dilinde tamamen yeniden yazılmış yeni bir varyant geliştiren en son kişiler oldular.
Hive0091 (diğer adıyla DefrayX) olarak bilinen tehdit aktörü tarafından RansomExx2 olarak adlandırılan en son sürüm, öncelikle Linux işletim sistemi üzerinde çalışacak şekilde tasarlanmıştır, ancak gelecekte bir Windows sürümünün piyasaya sürülmesi beklenebilir.
Defray777 ve Ransom X olarak da bilinen RansomExx, 2018’den beri aktif olduğu bilinen bir fidye yazılımı ailesidir. O zamandan beri devlet kurumlarına, üreticilere ve Embraer ve GIGABYTE gibi diğer yüksek profilli kuruluşlara yönelik bir dizi saldırıyla bağlantılıdır.
“Rust’ta yazılan kötü amaçlı yazılımlar genellikle daha düşük [antivirus] IBM Security X-Force araştırmacısı Charlotte Hammond, bu hafta yayınlanan bir raporda, tespit oranlarının (daha yaygın dillerde yazılanlarla karşılaştırıldığında) olduğunu ve bu dili kullanmanın birincil nedeni olabileceğini söyledi.
RansomExx2 işlevsel olarak C++ öncülüne benzer ve komut satırı girdileri olarak şifrelemek için hedef dizinlerin bir listesini alır.
Fidye yazılımı çalıştırıldıktan sonra, belirtilen dizinlerin her birini tekrar tekrar gözden geçirir, ardından AES-256 algoritmasını kullanarak dosyaları sıralar ve şifreler.
Adım tamamlandıktan sonra, talebi içeren bir fidye notu şifrelenmiş dizinlerin her birine nihai olarak bırakılır.
Gelişme, giderek artan sayıda kötü niyetli aktörün, yalnızca platformlar arası esnekliği artırmakla kalmayan, aynı zamanda tespit edilmekten de kurtulabilen Rust ve Go gibi daha az bilinen programlama dilleriyle kötü amaçlı yazılım ve fidye yazılımı oluşturduğu yeni bir trendi gösteriyor.
Hammond, “RansomExx, 2022’de Rust’a geçiş yapacak başka bir büyük fidye yazılımı ailesidir” dedi.
“RansomExx tarafından yapılan bu son değişiklikler, işlevsellikte önemli bir yükseltmeyi temsil etmese de, Rust’a geçiş, grup tarafından fidye yazılımının geliştirilmesine ve yeniliğine sürekli odaklanmayı ve tespit edilmekten kaçınma girişimlerini sürdürmeyi öneriyor.”