Nuevo informe de código dañino sobre RansomEXX_Linux Ransomware

Fecha de publicación: 26/10/2022

• Ya está disponible en el portal del CCN-CERT el nuevo informe de código dañino ID-11/22 sobre RansomEXX_Linux ransomware

El Centro Criptológico Nacional (CCN) ha publicado el nuevo informe de código dañino ID-11/22 sobre RansomEXX_Linux ransomware que recoge el análisis de una muestra de esta damilia. Este binario analizado pertenece a la familia de ransomware también conocida como Defray777 o RansomX. Vinculado con el actor GOLD DUPONT, este código dañino ha estado involucrado en múltiples incidentes desde 2018 que han afectado a organismos gubernamentales y empresas estratégicas.

Los atacantes se caracterizan por utilizar como vía de entrada ciertas vulnerabilidades en productos VMWare ESXi para cifrar sus discos duros virtuales. El ransomware hace uso del cifrado por bloques AES-256 para cifrar los ficheros de la víctima. A diferencia de las variantes de RansomEXX previamente identificadas la muestra actual se corresponde con una nueva versión del código dañino desarrollada en lenguaje Rust, uniéndose así a la tendencia empleada por las familias de ransomware Hive y BlackCat/ALPHV, que han migrado también su código a este lenguaje. Este lenguaje no solo ofrece a los atacantes notables ventajas desde un punto de vista de seguridad y rendimiento (mejor gestión de la concurrencia y la memoria, gran velocidad de cifrado, etc.) sino que dificulta significativamente la ingeniería inversa por parte de los analistas.

Más información:

• CCN-CERT ID-11/22 RansomEXX_Linux ransomware

Atentamente,

Equipo CCN-CERT