在野外发现了一种名为Agenda的勒索软件的 Rust 变体,使其成为继BlackCat、Hive、Luna 和 RansomExx之后采用跨平台编程语言的最新恶意软件。
Agenda归因于名为 Qilin 的运营商,是一个勒索软件即服务 (RaaS) 组织,与主要针对不同国家的制造业和 IT 行业的大量攻击有关。
该勒索软件的前一个版本是用 Go 编写的,并为每个受害者定制,专门针对印度尼西亚、沙特阿拉伯、南非和泰国等国家的医疗保健和教育部门。
Agenda 与Royal 勒索软件一样,通过配置用于确定要加密的文件内容百分比的参数,扩展了部分加密(也称为间歇加密)的概念。
Trend Micro 的一组研究人员上周在一份报告中表示: “这种策略在勒索软件攻击者中越来越流行,因为它可以让他们更快地加密并避免严重依赖读/写文件操作的检测。”
对勒索软件二进制文件的分析表明,加密文件的扩展名为“MmXReVIxLV”,然后继续在每个目录中放置勒索字条。
此外,Agenda 的 Rust 版本能够终止 Windows AppInfo 进程并禁用用户帐户控制 (UAC),后者通过要求管理访问权限来启动程序或任务来帮助减轻恶意软件的影响。
研究人员指出:“目前,它的威胁行为者似乎正在将他们的勒索软件代码迁移到 Rust,因为最近的样本仍然缺乏用勒索软件 Golang 变体编写的原始二进制文件中的一些功能。”
“Rust 语言在威胁行为者中变得越来越流行,因为它更难分析并且防病毒引擎的检测率较低。”
