Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
El malware RansomExx ofrece nuevas funciones para eludir la detección
5 de diciembre de 2022 - Equipo de relaciones públicas de TuxCare
El grupo APT DefrayX ha lanzado una nueva versión de su malware RansomExx conocida como RansomExx2, una variante para Linux reescrita en el lenguaje de programación Rust, posiblemente para evitar ser detectado por el software antivirus, ya que Rust se beneficia de menores tasas de detección AV en comparación con los escritos en lenguajes más comunes, según los investigadores de IBM Security X-Force Threat.
Rust tiene la ventaja de ser independiente de la plataforma, además de ser más difícil de detectar y de aplicar ingeniería inversa. Como resultado, aunque la nueva versión de RansomExx funciona en Linux, IBM predice que pronto estará disponible una versión para Windows, suponiendo que no esté ya suelta y sin detectar.
RansomExx es una familia de ransomware que lleva activa desde 2018. También se la conoce como Defray777 y Ransom X. Desde entonces, se la ha vinculado a una serie de ataques contra agencias gubernamentales, fabricantes y otras entidades de alto perfil, como Embraer y GIGABYTE.
RansomExx2 funciona de la misma forma que su predecesor en C++, y acepta una lista de directorios de destino para cifrar como entrada de línea de comandos. Cuando se ejecuta, el ransomware recorre recursivamente cada uno de los directorios especificados, enumera y cifra los archivos con el algoritmo AES-256.
Como entrada, el ransomware espera recibir una lista de rutas de directorios para cifrar. No encripta nada si no se le pasan argumentos. El ransomware requiere el siguiente formato de línea de comandos para ejecutarse correctamente.
Cuando el ransomware se ejecuta, se propaga por los directorios designados, identificando y cifrando los archivos. Excepto las notas de rescate y los archivos cifrados previamente, se cifran todos los archivos mayores o iguales a 40 bytes.
Cada archivo cifrado tiene su propia extensión. Las extensiones de archivo del ransomware RansomExx suelen basarse en una variante del nombre de la empresa objetivo, a veces seguida de números como "911" o caracteres aleatorios.
IBM informó de que una muestra que analizó "no fue detectada como maliciosa en la plataforma VirusTotal durante al menos 2 semanas después de su envío inicial" y que "la nueva muestra sigue siendo detectada sólo por 14 de los más de 60 proveedores de AV representados en la plataforma."
Las fuentes de este artículo incluyen un artículo de DarkReading.
