Una variante de Rust de una cepa de ransomware conocida como Agenda se ha observado en la naturaleza, lo que lo convierte en el último malware en adoptar el lenguaje de programación multiplataforma después de BlackCat, Hive, Luna y RansomExx.
Agenda, atribuido a un operador llamado Qilin, es un grupo de ransomware como servicio (RaaS) que se ha relacionado con una serie de ataques dirigidos principalmente a las industrias manufactureras y de TI en diferentes países.
Una versión anterior del ransomware, escrita en Go y personalizada para cada víctima, destacó los sectores de salud y educación en países como Indonesia, Arabia Saudita, Sudáfrica y Tailandia.
Agenda, como el ransomware Royal, amplía la idea del cifrado parcial (también conocido como cifrado intermitente) mediante la configuración de parámetros que se utilizan para determinar el porcentaje de contenido de archivo a cifrar.
“Esta táctica se está volviendo más popular entre los actores de ransomware, ya que les permite cifrar más rápido y evitar detecciones que dependen en gran medida de las operaciones de lectura / escritura de archivos”, dijo un grupo de investigadores de Trend Micro en un informe la semana pasada.
Un análisis del binario ransomware revela que los archivos cifrados reciben la extensión “MmXReVIxLV”, antes de proceder a soltar la nota de rescate en cada directorio.
Además, la versión Rust de Agenda es capaz de finalizar el proceso de Windows AppInfo y deshabilitar el Control de cuentas de usuario (UAC), el último de los cuales ayuda a mitigar el impacto del malware al requerir acceso administrativo para iniciar un programa o tarea.
“En la actualidad, sus actores de amenazas parecen estar migrando su código de ransomware a Rust, ya que las muestras recientes aún carecen de algunas características vistas en los binarios originales escritos en la variante Golang del ransomware”, señalaron los investigadores.
“El lenguaje Rust se está volviendo más popular entre los actores de amenazas, ya que es más difícil de analizar y tiene una tasa de detección más baja por parte de los motores antivirus”.
