ClickCease Le malware RansomExx offre de nouvelles fonctionnalités pour contourner la détection

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Le malware RansomExx offre de nouvelles fonctionnalités pour contourner la détection

5 décembre 2022 - L'équipe de relations publiques de TuxCare

Le groupe APT DefrayX a lancé une nouvelle version de son logiciel malveillant RansomExx, connue sous le nom de RansomExx2, une variante pour Linux réécrite dans le langage de programmation Rust, peut-être pour éviter la détection par les logiciels antivirus, car Rust bénéficie de taux de détection AV plus faibles que ceux écrits dans des langages plus courants, selon les chercheurs en menaces d'IBM Security X-Force.

Rust présente l'avantage d'être indépendant de la plate-forme, en plus d'être plus difficile à détecter et à rétroconcevoir. Par conséquent, si la nouvelle version de Ransomexx fonctionne sous Linux, IBM prévoit qu'une version Windows sera bientôt disponible, à condition qu'elle ne soit pas déjà en circulation et non détectée.

RansomExx est une famille de ransomware qui est active depuis 2018. Elle est également connue sous les noms de Defray777 et Ransom X. Depuis lors, elle a été liée à un certain nombre d'attaques contre des agences gouvernementales, des fabricants et d'autres entités très en vue, comme Embraer et GIGABYTE.

RansomExx2 fonctionne de la même manière que son prédécesseur C++ et accepte une liste de répertoires cibles à chiffrer en entrée de ligne de commande. Une fois exécuté, le ransomware parcourt récursivement chacun des répertoires spécifiés, énumère et crypte les fichiers avec l'algorithme AES-256.

En entrée, le ransomware s'attend à recevoir une liste de chemins de répertoire à crypter. Il ne crypte rien si aucun argument ne lui est transmis. Le ransomware nécessite le format de ligne de commande suivant afin de s'exécuter correctement.

Lorsque le ransomware est exécuté, il se propage dans les répertoires désignés, identifiant et chiffrant les fichiers. À l'exception des notes de rançon et des fichiers précédemment chiffrés, tous les fichiers d'une taille supérieure ou égale à 40 octets sont chiffrés.

Chaque fichier crypté a sa propre extension de fichier. Les extensions de fichier du ransomware RansomExx sont souvent basées sur une variante du nom de la société cible, parfois suivie de chiffres tels que "911" ou de caractères aléatoires.

IBM a indiqué que l'un des échantillons analysés "n'a pas été détecté comme malveillant sur la plateforme VirusTotal pendant au moins deux semaines après sa soumission initiale" et que "le nouvel échantillon n'est toujours détecté que par 14 des plus de 60 fournisseurs d'antivirus représentés sur la plateforme".

Les sources de cette pièce incluent un article de DarkReading.

Résumé
Le malware RansomExx offre de nouvelles fonctionnalités pour contourner la détection
Nom de l'article
Le malware RansomExx offre de nouvelles fonctionnalités pour contourner la détection
Description
Le groupe APT DefrayX a lancé une nouvelle version de son logiciel malveillant RansomExx, appelée RansomExx2, réécrite dans le langage de programmation Rust.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information