نوع جدید باج افزار Agenda، نوشته شده در Rust، با هدف زیرساخت های حیاتی

یک نوع Rust از یک گونه باج‌افزار معروف به Agenda در طبیعت مشاهده شده است که آن را به جدیدترین بدافزاری تبدیل می‌کند که پس از BlackCat، Hive، Luna و RansomExx از زبان برنامه‌نویسی متقابل پلتفرم استفاده می‌کند.

Agenda که به اپراتوری Qilin نسبت داده می شود، یک گروه باج افزار به عنوان یک سرویس (RaaS) است که با موجی از حملات مرتبط می‌باشد که عمدتاً صنایع تولیدی و فناوری اطلاعات را در کشورهای مختلف هدف قرار می دهد.

 

 

نسخه قبلی باج افزار که در Go نوشته شده و برای هر قربانی سفارشی شده بود، بخش های مراقبت های بهداشتی و آموزشی را در کشورهایی مانند اندونزی، عربستان سعودی، آفریقای جنوبی و تایلند مشخص می کرد.

Agenda، مانند باج‌افزار رویال، ایده رمزگذاری جزئی (معروف به رمزگذاری متناوب) را با پیکربندی پارامترهایی که برای تعیین درصد محتوای فایل مورد استفاده قرار می‌گیرد، گسترش می‌دهد.

 

 

گروهی از محققان Trend Micro هفته گذشته در گزارشی گفتند: «این تاکتیک در بین بازیگران باج‌افزار محبوب‌تر می‌شود، زیرا به آنها امکان می‌دهد سریع‌تر رمزگذاری کنند و از تشخیص‌هایی که به شدت به عملیات خواندن/نوشتن فایل‌ها متکی هستند، اجتناب کنند».

تجزیه و تحلیل باج افزار دودویی نشان می دهد که قبل از اینکه یادداشت باج را در هر دایرکتوری رها کنید، به فایل های رمزگذاری شده پسوند “MmXReVIxLV” داده می شود.

علاوه بر این، نسخه Rust Agenda می‌تواند فرآیند Windows AppInfo را خاتمه دهد و کنترل حساب کاربری (UAC) را غیرفعال کند، که دومی با نیاز به دسترسی مدیریت برای راه‌اندازی یک برنامه یا کار، به کاهش تأثیر بدافزار کمک می‌کند.

محققان خاطرنشان کردند: «در حال حاضر، به نظر می‌رسد که عوامل تهدید آن در حال انتقال کد باج‌افزار خود به Rust هستند، زیرا نمونه‌های اخیر هنوز فاقد برخی ویژگی‌هایی هستند که در باینری‌های اصلی نوشته شده در نوع Golang باج‌افزار دیده می‌شود.»

زبان Rust در میان عوامل تهدید محبوب‌تر می‌شود، زیرا تجزیه و تحلیل آن دشوارتر است و نرخ تشخیص کمتری توسط موتورهای آنتی‌ویروس دارد.

 

پست‌های مشابه

Leave a Comment