Eine Rust-Variante eines Ransomware-Stamms namens Agenda wurde in freier Wildbahn beobachtet. Damit ist sie nach BlackCat, Hive, Luna und RansomExx die neueste Malware, die die plattformübergreifende Programmiersprache verwendet.
Agenda, das einem Betreiber namens Qilin zugeschrieben wird, ist eine Ransomware-as-a-Service (RaaS)-Gruppe, die mit einer Reihe von Angriffen in Verbindung gebracht wird, die sich vor allem gegen die Fertigungs- und IT-Branche in verschiedenen Ländern richten.
Eine frühere Version der Ransomware, die in Go geschrieben und für jedes Opfer individuell angepasst wurde, hatte es auf das Gesundheits- und Bildungswesen in Ländern wie Indonesien, Saudi-Arabien, Südafrika und Thailand abgesehen.
Agenda, wie auch Royal ransomware, erweitert die Idee der partiellen Verschlüsselung (auch intermittierende Verschlüsselung genannt) durch die Konfiguration von Parametern, mit denen der Prozentsatz der zu verschlüsselnden Dateiinhalte bestimmt wird.
„Diese Taktik wird bei Ransomware-Akteuren immer beliebter, da sie damit schneller verschlüsseln und Entdeckungen vermeiden können, die sich stark auf Lese-/Schreibvorgänge in Dateien verlassen“, so eine Gruppe von Forschern von Trend Micro in einem Bericht von letzter Woche.
Eine Analyse der Ransomware-Binärdatei zeigt, dass die verschlüsselten Dateien die Erweiterung „MmXReVIxLV“ erhalten, bevor die Lösegeldforderung in jedem Verzeichnis abgelegt wird.
Außerdem ist die Rust-Version von Agenda in der Lage, den Windows AppInfo-Prozess zu beenden und die Benutzerkontensteuerung (UAC) zu deaktivieren, die dazu beiträgt, die Auswirkungen von Schadsoftware abzuschwächen, da zum Starten eines Programms oder einer Aufgabe Administratorrechte erforderlich sind.
„Derzeit scheinen die Bedrohungsakteure ihren Ransomware-Code auf Rust zu migrieren, da einige Funktionen der ursprünglichen Binärdateien, die in der Golang-Variante der Ransomware geschrieben wurden, noch fehlen“, so die Forscher.
„Die Sprache Rust wird bei Bedrohungsakteuren immer beliebter, da sie schwieriger zu analysieren ist und eine geringere Erkennungsrate bei Antivirenprogrammen hat.