Rust への RansomExx のアップグレード

IBM Security X-Force の脅威研究者は、Rust プログラミング言語で書き直された RansomExx ランサムウェアの新しい亜種を発見しました。 言語に切り替えるランサムウェア開発者の増加傾向に加わっています。

Rust で作成されたマルウェアは、(より一般的な言語で作成されたものと比較して) 低い AV 検出率の恩恵を受けることが多く、これがこの言語を使用する主な理由である可能性があります。 たとえば、このレポートで分析されたサンプルは、最初の提出から少なくとも 2 週間は VirusTotal プラットフォームで悪意のあるものとして検出されませんでした。 執筆時点では、新しいサンプルは、プラットフォームで代表される 60 以上の AV プロバイダーのうち、まだ 14 しか検出されていません。

RansomExx は、PyXie マルウェア、Vatet ローダー、および Defray ランサムウェア株でも知られる DefrayX 脅威アクター グループ (Hive0091) によって運営されています。 新たに発見されたランサムウェアのバージョンは、ランサムウェア内で見つかった文字列に従って RansomExx2 という名前が付けられ、Linux オペレーティング システムで実行するように設計されています。 このグループはこれまで、ランサムウェアの Linux バージョンと Windows バージョンの両方をリリースしてきたため、Windows バージョンも開発中である可能性があります。

RansomExx2 は Rust を使用して完全に書き直されていますが、それ以外の点では、その機能は C++ の前身と似ています。 暗号化するターゲット ディレクトリのリストをコマンド ライン パラメーターとして渡す必要があり、暗号化キーを保護するために RSA を使用して、AES-256 を使用してファイルを暗号化します。

Rust プログラミング言語は、クロスプラットフォームのサポートと低い AV 検出率のおかげで、この 1 年でマルウェア開発者の間で着実に人気が高まっています。 Go プログラミング言語のように、 Rust のコンパイル プロセスは、過去数年間で脅威アクターによる同様の使用の急増を経験しましたが、結果として、より複雑なバイナリが生成される可能性があります。 リバースエンジニアの分析に時間がかかります。

いくつかのランサムウェア開発者は、BlackCat、Hive、Zeon などのマルウェアの Rust バージョンをリリースしており、RansomExx2 が最近追加されました。 X-Force は、Rust で書かれた ITG23 クリプターも分析しました。 バックドアとダウンローダーの CargoBay ファミリー。

分析

新たに特定された RansomExx2 サンプルには MD5 ハッシュが含まれています 377C6292E0852AFEB4BD22CA78000685 Rust プログラミング言語で書かれた Linux 実行可能ファイルです。

バイナリ内の注目すべきソース コード パス文字列は、ランサムウェアが RansomExx の亜種であり、おそらく名前が付けられていることを示しています。 身代金Exx2.

スクロールして表全体を表示

ランサムウェア グループが運営する Web サイトも更新され、ページ タイトルは現在「ransomexx2」と表示されています。

図 1 — ページ タイトルが「ransomexx2」に設定されているランサムウェア グループの Web サイトのスクリーンショット

全体として、このランサムウェアの亜種の機能は、以前の RansomExx Linux の亜種と非常によく似ています。

ランサムウェアは、暗号化するディレクトリ パスのリストを入力として受け取ることを期待しています。 引数が渡されない場合、何も暗号化しません。 ランサムウェアが正しく実行されるためには、次のコマンド ライン形式が必要です。

スクロールして表全体を表示

実行されると、ランサムウェアは指定されたディレクトリを反復処理し、ファイルの列挙と暗号化を行います。 身代金メモと以前に暗号化されたファイルを除いて、40 バイト以上のすべてのファイルが暗号化されます。

暗号化された各ファイルには新しいファイル拡張子が付けられます. RansomExx ランサムウェアのファイル拡張子は、ターゲットの会社名のバリエーションに基づいているのが一般的であり、その後に「911」などの数字やランダムな文字が続く場合があります。

身代金メモが投下される ファイルの暗号化が行われる各ディレクトリ。 身代金メモの名前は次のとおりです。

スクロールして表全体を表示

このメモの内容は次のとおりです。

スクロールして表全体を表示

ファイルは、AES-256 とランダムに生成されたキーを使用して暗号化されます。 AES キー自体は、RSA とハードコードされた公開キーを使用して暗号化され、暗号化されたファイルの末尾に追加されます。 この暗号化方式の結果として、攻撃者が保持する対応する RSA 秘密鍵がファイルの復号化に必要になります。

分析されたサンプルでは、​​次の RSA 公開鍵が使用されました。

スクロールして表全体を表示

RSA キー、ファイル拡張子、ランサムウェア ノートの名前と内容などの要素は、バイナリ内で暗号化され、暗号化されたデータを同じサイズのキーで xor することによって復号化されます。

結論

X-Force は、今後さらに多くの攻撃者が Rust を使用して実験を行う可能性が高いと評価しています。 RansomExx は、2022 年に Rust に切り替わるもう 1 つの主要なランサムウェア ファミリです (Hive と Blackcat での同様の取り組みに続きます)。 RansomExx によるこれらの最新の変更は、機能の大幅なアップグレードを表すものではないかもしれませんが、Rust への切り替えは、 グループによるランサムウェア、および検出を回避するための継続的な試み。

ランサムウェアに対する知識と防御を強化するために、IBM Security はランサムウェアの決定版ガイド 2022 を発行しました。

X-Force の無料相談を予約するには、ここをクリックしてください。

サイバーセキュリティの問題またはインシデントが発生した場合は、X-Force にお問い合わせください。 グローバルホットライン (+001) 312-212-8034。

Leave a Comment

Your email address will not be published. Required fields are marked *