El Centro Criptológico Nacional (CCN) ha publicado este miércoles el nuevo informe de código dañino ID-11/22 sobre RansomEXX_Linux ransomware. El documento recoge el análisis de una muestra de esta familia de ransomware, también conocida como Defray777 o RansomX y vinculada con el actor GOLD DUPONT, que desde 2018 ha afectado a distintos organismos gubernamentales y empresas estratégicas.
Los ataques de RansomEXX
El sistema judicial y el Departamento de Transporte del estado de Texas (TxDOT) sufrieron un ataque de este ransomware en mayo de 2020. En julio del mismo año, la multinacional japonesa Konica Minolta fue perjudicada por RansomEXX, que algunos meses después atacó también el sistema judicial de Brasil.
Uno de los mayores fabricantes de aviones civiles, la empresa brasileña Embraer, se vio afectada por RansomEXX a finales de 2020, cuando sus datos fueron filtrados después de rechazar una extorsión.
Los ataques vinculados a este ransomware incrementaron en el último año, perjudicando a entidades como Ferrari, Bombardier Recreational Products o el National Fund for Educational Development de Brasil.
El informe de código dañino sobre RansomEXX
Los ataques producidos tuvieron como consecuencia una respuesta global para encontrar la mejor solución técnica y favorecer la seguridad de las instituciones. Desde una perspectiva nacional, la seguridad informática es una preocupación constante de las entidades, como se analizó ampliamente en la última edición de Security Forum, donde la ciberseguridad institucional se impuso como uno de los temas más discutidos.
Con la misma finalidad, el informe del CCN recoge la muestra del análisis del código dañino identificado como «MD5 377c6292e0852afeb4bd22ca78000685», desarrollado en lenguaje Rust y creado para plataformas Linux (x64).
Dicho documento ofrece los datos que analizan la última versión del código dañino RansomEXX, perteneciente a la familia de ransomware llamada EXX o RansomEXX, también conocido como Defray777 o RansomX.
En el informe se evidencian los aspectos comunes de los atacantes, que utilizan como vía de entrada ciertas vulnerabilidades en productos VMWare ESXi, para cifrar sus discos duros virtuales con EXX.
Características de la nueva versión dañina de RansomEXX
A diferencia de las variantes de RansomEXX previamente analizadas por el CCN, la muestra actual se corresponde con una nueva versión del código dañino desarrollada en lenguaje Rust, según una actuación común a las familias de ransomware Hive y BlackCat/ALPHV. El ransomware utiliza el cifrado por bloques AES-256 para decodificar los ficheros de la víctima.
El aspecto más novedoso ofrecido por esta nueva versión de RansomEXX es, por tanto, su implementación en Rust, un lenguaje que dificulta significativamente la ingeniería inversa por parte de los analistas. Este lenguaje proporciona a los atacantes evidentes ventajas desde un punto de vista de seguridad, como una mejor gestión de la memoria o la mayor velocidad de cifrado.
Para profundizar todos los aspectos técnicos, se puede consultar integralmente el informe del CCN-CERT en su página web y descargarlo en formato pdf.