Support technique
Documentation
Connexion
Nous contacter
Le malware RansomExx offre de nouvelles fonctionnalités pour contourner la détection
Obanla Opeyemi
5 décembre 2022 - L'équipe d'experts de TuxCare
Le groupe APT DefrayX a lancé une nouvelle version de son logiciel malveillant RansomExx, connue sous le nom de RansomExx2, une variante pour Linux réécrite dans le langage de programmation Rust, peut-être pour éviter la détection par les logiciels antivirus, car Rust bénéficie de taux de détection AV plus faibles que ceux écrits dans des langages plus courants, selon les chercheurs en menaces d'IBM Security X-Force.
Rust présente l'avantage d'être indépendant de la plate-forme, en plus d'être plus difficile à détecter et à rétroconcevoir. Par conséquent, si la nouvelle version de Ransomexx fonctionne sous Linux, IBM prévoit qu'une version Windows sera bientôt disponible, à condition qu'elle ne soit pas déjà en circulation et non détectée.
RansomExx est une famille de ransomware qui est active depuis 2018. Elle est également connue sous les noms de Defray777 et Ransom X. Depuis lors, elle a été liée à un certain nombre d'attaques contre des agences gouvernementales, des fabricants et d'autres entités très en vue, comme Embraer et GIGABYTE.
RansomExx2 fonctionne de la même manière que son prédécesseur C++ et accepte une liste de répertoires cibles à chiffrer en entrée de ligne de commande. Une fois exécuté, le ransomware parcourt récursivement chacun des répertoires spécifiés, énumère et crypte les fichiers avec l'algorithme AES-256.
En entrée, le ransomware s'attend à recevoir une liste de chemins de répertoire à crypter. Il ne crypte rien si aucun argument ne lui est transmis. Le ransomware nécessite le format de ligne de commande suivant afin de s'exécuter correctement.
Lorsque le ransomware est exécuté, il se propage dans les répertoires désignés, identifiant et chiffrant les fichiers. À l'exception des notes de rançon et des fichiers précédemment chiffrés, tous les fichiers d'une taille supérieure ou égale à 40 octets sont chiffrés.
Chaque fichier crypté a sa propre extension de fichier. Les extensions de fichier du ransomware RansomExx sont souvent basées sur une variante du nom de la société cible, parfois suivie de chiffres tels que "911" ou de caractères aléatoires.
IBM a indiqué que l'un des échantillons analysés "n'a pas été détecté comme malveillant sur la plateforme VirusTotal pendant au moins deux semaines après sa soumission initiale" et que "le nouvel échantillon n'est toujours détecté que par 14 des plus de 60 fournisseurs d'antivirus représentés sur la plateforme".
Les sources de cette pièce incluent un article de DarkReading.
