Rio Forense

Nova variante de ransomware, escrita em Rust, é descoberta

Uma variante Rust de uma variedade de ransomware conhecida como Agenda foi encontrada, tornando-o o malware mais recente a adotar a linguagem de programação de plataforma cruzada após BlackCat, Hive, Luna e RansomExx.

O Agenda, atribuído a um operador chamado Qilin, é um grupo de Ransomware as a Service (RaaS) vinculado a série de ataques direcionados principalmente aos setores de manufatura e TI em diferentes países.

Uma versão anterior do ransomware, escrita em Go e personalizada para cada vítima, focava nos setores de saúde e educação em países como Indonésia, Arábia Saudita, África do Sul e Tailândia.

Agenda, como Royal ransomware, expande a ideia de criptografia parcial (também conhecida como criptografia intermitente), configurando parâmetros que são usados para determinar a porcentagem do conteúdo do arquivo a ser criptografado.

“Essa tática está se tornando mais popular entre os agentes de ransomware, pois permite que eles criptografem mais rapidamente e evitem detecções que dependem fortemente de operações de leitura/gravação de arquivos”, disse um grupo de pesquisadores da Trend Micro em relatório da semana passada.

Uma análise do binário do ransomware revela que os arquivos criptografados recebem a extensão “MmXReVIxLV”, antes de continuar a soltar a nota de resgate em todos os diretórios.

Além disso, a versão Rust do Agenda é capaz de encerrar o processo Windows AppInfo e desabilitar o Controle de Conta de Usuário (UAC), o último dos quais ajuda a mitigar o impacto do malware ao exigir acesso administrativo para iniciar um programa ou tarefa.

“Atualmente, seus agentes de ameaças parecem estar migrando seu código de ransomware para Rust, pois amostras recentes ainda carecem de alguns recursos vistos nos binários originais escritos na variante Golang do ransomware”, observaram os pesquisadores.

“A linguagem Rust está se tornando mais popular entre os agentes de ameaças, pois é mais difícil de analisar e tem uma taxa de detecção mais baixa pelos mecanismos antivírus.”

Via Olhar Digital

Sair da versão mobile