Rust编程语言中重写的新RansomExx勒索软件变体

RansomExx勒索软件的运营商已经成为继BlackCat、Hive和Luna等其他变种之后，开发一种用Rust编程语言完全重写的新变种的最新一代。

最新的版本，被称为Hive0091（又名DefryX）的威胁扮演者称为RansomExx2，主要设计用于在Linux操作系统上运行，尽管预计未来将发布Windows版本。

RansomExx，也称为Defry777和Ransom X，是一个勒索软件家族，自2018年以来一直活跃。自那以来，它与政府机构、制造商以及巴西航空工业公司（Embraer）和GIGABYTE等其他知名实体遭受的多起袭击有关。

IBM Security X-Force研究员夏洛特·哈蒙德（Charlotte Hammond）在本周发表的一份报告中表示：“用Rust编写的恶意软件通常得益于较低的（防病毒）检测率（与用更常见的语言编写的相比），这可能是使用该语言的主要原因”。

RansomExx2在功能上类似于其C++前身，它将目标目录列表作为命令行输入进行加密。

一旦执行，勒索软件递归地遍历每个指定的目录，然后使用AES-256算法枚举和加密文件。

在完成该步骤后，包含该请求的勒索通知最终被丢弃在每个加密目录中。

这一发展表明了一个新趋势，即越来越多的恶意行为者正在使用Rust和Go等鲜为人知的编程语言构建恶意软件和勒索软件，这不仅提高了跨平台的灵活性，而且还可以逃避检测。

哈蒙德解释道：“RansomExx是另一个在2022年转向Rust的主要勒索软件家族”。

“虽然RansomExx的这些最新变化可能并不代表功能的重大升级，但改用Rust意味着该集团将继续关注勒索软件的开发和创新，并继续试图逃避检测”。