last posts

Experten entdeckten in RustSecurity Affairs geschriebene Variante von Agenda Ransomware

Meta description

Forscher haben eine neue Variante der Agenda-Ransomware entdeckt, die in der plattformübergreifenden Programmiersprache Rust geschrieben ist.

Forscher von Trend Micro haben eine neue Ransomware-Variante von Agenda (alias Qilin) ​​entdeckt, die in der Sprache Rust geschrieben ist.

Diese Entscheidung folgt der Entscheidung anderer Ransomware-Banden wie Hive, Blackcat, RansomExx und Luna, ihre Ransomware in Rust umzuschreiben. Die Hauptgründe für das Umschreiben von Malware in Rust sind niedrigere AV-Erkennungsraten im Vergleich zu Malware, die in den meisten gängigen Sprachen geschrieben ist, und das Zielen auf mehrere Architekturen.

Die Qilin Ransomware-as-a-Service (RaaS)-Gruppe verwendet ein doppeltes Erpressungsmodell, wobei die meisten Opfer in der Fertigungs- und IT-Branche zu finden sind. Das schätzten die Forscher kombiniertes Einkommen übersteigt 550 Millionen US-Dollar.

Die Ransomware wurde ursprünglich in der Go-Sprache geschrieben und wurde bei Angriffen auf das Gesundheits- und Bildungswesen in Ländern wie Thailand und Indonesien eingesetzt.

„Kürzlich haben wir eine Probe von Agenda-Ransomware gefunden, die in der Sprache Rust geschrieben und als Ransom.Win32.AGENDA.THIAFBB erkannt wurde.“ liest die von Trend Micro veröffentlichte Analyse. „Die Akteure passten frühere Ransomware-Binärdateien für das beabsichtigte Opfer an, indem sie vertrauliche Informationen wie durchgesickerte Konten und eindeutige Firmen-IDs als angehängte Dateierweiterung verwendeten. Die Rust-Variante wurde auch mit intermittierender Verschlüsselung gesehen, einer der aufkommenden Taktiken, die Bedrohungsakteure heute anwenden, um die Verschlüsselung zu beschleunigen und der Erkennung zu entgehen.

Beim Ausführen der Malware wirft die Rust-Binärdatei einen Fehler, der die Übergabe eines Passworts als Argument erfordert. Diese Befehlszeilenfunktion wurde auch in der Golang-Version der Agenda-Ransomware implementiert.

Durch die Übergabe des „-password“-Parameters in Verbindung mit einem gefälschten „AgendaPass“-Passwort startet die Ransomware ihre bösartige Aktivität, indem sie verschiedene Prozesse und Dienste beendet.

Die Ransomware verwendet intermittierende Verschlüsselung, um den Verschlüsselungsprozess zu beschleunigen, indem Dateien basierend auf den Werten bestimmter Flags teilweise verschlüsselt werden. Diese Taktik vermeidet auch Erkennungen, die auf der Analyse von Datei-Lese-/Schreibvorgängen basieren.

„Er fügte seinen Konfigurationen auch Flags -n, -p, fast, skip und step hinzu, die in der Golang-Variantenkonfiguration nicht vorhanden sind und nur über ein Befehlszeilenargument verwendet werden. Nach weiterer Analyse haben wir erfahren, dass diese Flags für die intermittierende Verschlüsselung verwendet werden. setzt die Analyse fort. „Diese Taktik ermöglicht es der Ransomware, Opferdateien schneller zu verschlüsseln, indem Dateien basierend auf Flag-Werten teilweise verschlüsselt werden.“

Das von Experten analysierte Beispiel fügt den Dateinamen verschlüsselter Dateien die Erweiterung „MmXReVIxLV“ hinzu und hinterlässt dann in jedem Verzeichnis eine Lösegeldforderung.

Ransomware-Programm

Im Gegensatz zu früheren Varianten ist die Rust-Version der Agenda-Ransomware in der Lage, den Windows AppInfo-Prozess zu beenden und die Benutzerkontensteuerung (UAC) zu deaktivieren.

Trend Micro hat berichtet, dass Rust-Varianten Speicherplatz zugewiesen haben, um Konten in ihrer Konfiguration hinzuzufügen, die hauptsächlich für die Rechteausweitung verwendet werden.

Anders als bei der vorherigen Golang-Variante haben Bedrohungsakteure die Anmeldeinformationen des Opfers nicht in die Einrichtung der Rust-Variante aufgenommen, um Forscher daran zu hindern, die Chat-Support-Site der Ransomware zu besuchen und die Gespräche der Bedrohungsakteure zu beobachten.

“Agenda, eine aufstrebende Ransomware-Familie, hat kürzlich kritische Sektoren wie das Gesundheitswesen und das Bildungswesen ins Visier genommen. Derzeit scheinen ihre Bedrohungsakteure ihren Ransomware-Code auf Rust zu migrieren, da den jüngsten Beispielen noch einige Funktionen fehlen, die in den ursprünglichen Binärdateien zu sehen sind, die in geschrieben wurden Golang-Variante der Ransomware. Der Bericht kommt zu dem Schluss: „Die Rust-Sprache wird bei Bedrohungsakteuren immer beliebter, da sie schwieriger zu analysieren ist und eine geringere Erkennungsrate durch Antivirus-Engines aufweist.“

Folge mir auf Twitter: @Sicherheitsfragen und Facebook und Mastodon

Pierluigi Paganini

(Sicherheitsfälle Hacking, Malware)





Blog In 2021 joker0o xyz




Font Size
+
16
-
lines height
+
2
-