Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
RansomExx-Malware bietet neue Funktionen zur Umgehung der Erkennung
5. Dezember 2022. TuxCare PR Team
Die APT-Gruppe DefrayX hat eine neue Version ihrer RansomExx-Malware mit der Bezeichnung RansomExx2 auf den Markt gebracht. Dabei handelt es sich um eine Variante für Linux, die in der Programmiersprache Rust umgeschrieben wurde, möglicherweise um eine Erkennung durch Antiviren-Software zu vermeiden, da Rust im Vergleich zu den in gängigeren Sprachen geschriebenen Varianten von niedrigeren AV-Erkennungsraten profitiert, so die Forscher von IBM Security X-Force Threat.
Rust hat den Vorteil, dass es plattformunabhängig ist und zudem schwieriger zu erkennen und zurückzuentwickeln ist. Die neue Version von RansomExx läuft zwar unter Linux, doch IBM geht davon aus, dass bald auch eine Windows-Version verfügbar sein wird - vorausgesetzt, sie ist nicht bereits im Umlauf und unentdeckt.
RansomExx ist eine Ransomware-Familie, die seit 2018 aktiv ist. Sie ist auch als Defray777 und Ransom X bekannt. Seitdem wurde sie mit einer Reihe von Angriffen auf Regierungsbehörden, Hersteller und andere hochrangige Unternehmen wie Embraer und GIGABYTE in Verbindung gebracht.
RansomExx2 funktioniert auf dieselbe Weise wie sein C++-Vorgänger und akzeptiert eine Liste von zu verschlüsselnden Zielverzeichnissen als Befehlszeileneingabe. Wenn sie ausgeführt wird, durchläuft die Ransomware rekursiv jedes der angegebenen Verzeichnisse, zählt die Dateien auf und verschlüsselt sie mit dem AES-256-Algorithmus.
Als Eingabe erwartet die Ransomware eine Liste von Verzeichnispfaden, die verschlüsselt werden sollen. Sie verschlüsselt nichts, wenn ihr keine Argumente übergeben werden. Die Ransomware benötigt das folgende Befehlszeilenformat, um ordnungsgemäß ausgeführt werden zu können.
Wenn die Ransomware ausgeführt wird, verbreitet sie sich durch die angegebenen Verzeichnisse, identifiziert und verschlüsselt Dateien. Mit Ausnahme der Lösegeldnotizen und bereits verschlüsselter Dateien werden alle Dateien, die größer oder gleich 40 Byte sind, verschlüsselt.
Jede verschlüsselte Datei erhält eine eigene Dateierweiterung. Die Dateierweiterungen der RansomExx-Ransomware basieren häufig auf einer Variante des Namens des Zielunternehmens, manchmal gefolgt von Zahlen wie "911" oder zufälligen Zeichen.
IBM meldete, dass ein von ihr analysiertes Sample "mindestens zwei Wochen nach seiner ursprünglichen Einreichung nicht als bösartig in der VirusTotal-Plattform erkannt wurde" und dass "das neue Sample immer noch nur von 14 der über 60 in der Plattform vertretenen AV-Anbieter erkannt wird".
Zu den Quellen für diesen Beitrag gehört ein Artikel in DarkReading.
