یک نوع Rust از یک گونه باجافزار معروف به Agenda در طبیعت مشاهده شده است که آن را به جدیدترین بدافزاری تبدیل میکند که پس از BlackCat، Hive، Luna و RansomExx از زبان برنامهنویسی متقابل پلتفرم استفاده میکند.
Agenda که به اپراتوری Qilin نسبت داده می شود، یک گروه باج افزار به عنوان یک سرویس (RaaS) است که با موجی از حملات مرتبط میباشد که عمدتاً صنایع تولیدی و فناوری اطلاعات را در کشورهای مختلف هدف قرار می دهد.
نسخه قبلی باج افزار که در Go نوشته شده و برای هر قربانی سفارشی شده بود، بخش های مراقبت های بهداشتی و آموزشی را در کشورهایی مانند اندونزی، عربستان سعودی، آفریقای جنوبی و تایلند مشخص می کرد.
Agenda، مانند باجافزار رویال، ایده رمزگذاری جزئی (معروف به رمزگذاری متناوب) را با پیکربندی پارامترهایی که برای تعیین درصد محتوای فایل مورد استفاده قرار میگیرد، گسترش میدهد.
گروهی از محققان Trend Micro هفته گذشته در گزارشی گفتند: «این تاکتیک در بین بازیگران باجافزار محبوبتر میشود، زیرا به آنها امکان میدهد سریعتر رمزگذاری کنند و از تشخیصهایی که به شدت به عملیات خواندن/نوشتن فایلها متکی هستند، اجتناب کنند».
تجزیه و تحلیل باج افزار دودویی نشان می دهد که قبل از اینکه یادداشت باج را در هر دایرکتوری رها کنید، به فایل های رمزگذاری شده پسوند “MmXReVIxLV” داده می شود.
علاوه بر این، نسخه Rust Agenda میتواند فرآیند Windows AppInfo را خاتمه دهد و کنترل حساب کاربری (UAC) را غیرفعال کند، که دومی با نیاز به دسترسی مدیریت برای راهاندازی یک برنامه یا کار، به کاهش تأثیر بدافزار کمک میکند.
محققان خاطرنشان کردند: «در حال حاضر، به نظر میرسد که عوامل تهدید آن در حال انتقال کد باجافزار خود به Rust هستند، زیرا نمونههای اخیر هنوز فاقد برخی ویژگیهایی هستند که در باینریهای اصلی نوشته شده در نوع Golang باجافزار دیده میشود.»
زبان Rust در میان عوامل تهدید محبوبتر میشود، زیرا تجزیه و تحلیل آن دشوارتر است و نرخ تشخیص کمتری توسط موتورهای آنتیویروس دارد.