Se ha observado una variante de Rust de una variedad de ransomware conocida como Agenda , lo que lo convierte en el último malware en adoptar el lenguaje de programación multiplataforma después de BlackCat, Hive, Luna y RansomExx .
Agenda , atribuida a un operador llamado Qilin, es un grupo de ransomware como servicio (RaaS) que se ha relacionado con una serie de ataques dirigidos principalmente a las industrias de fabricación y TI en diferentes países.
Una versión anterior del ransomware, escrita en Go y personalizada para cada víctima, destacaba los sectores de la salud y la educación en países como Indonesia, Arabia Saudita, Sudáfrica y Tailandia.
Agenda, como Royal ransomware , amplía la idea del cifrado parcial (también conocido como cifrado intermitente) mediante la configuración de parámetros que se utilizan para determinar el porcentaje del contenido del archivo que se cifrará.
«Esta táctica se está volviendo más popular entre los actores de ransomware, ya que les permite cifrar más rápido y evitar las detecciones que dependen en gran medida de las operaciones de lectura/escritura de archivos», dijo un grupo de investigadores de Trend Micro en un informe la semana pasada.
Un análisis del binario del ransomware revela que los archivos cifrados reciben la extensión «MmXReVIxLV», antes de proceder a colocar la nota de rescate en cada directorio.
Además, la versión Rust de Agenda es capaz de finalizar el proceso de Windows AppInfo y deshabilitar el Control de cuentas de usuario (UAC), el último de los cuales ayuda a mitigar el impacto del malware al requerir acceso administrativo para iniciar un programa o tarea.
«En la actualidad, sus actores de amenazas parecen estar migrando su código de ransomware a Rust, ya que las muestras recientes aún carecen de algunas características que se ven en los archivos binarios originales escritos en la variante Golang del ransomware», señalaron los investigadores.
«El lenguaje Rust se está volviendo más popular entre los actores de amenazas, ya que es más difícil de analizar y tiene una tasa de detección más baja por parte de los motores antivirus».
Fuente y redacción: thehackernews.com
