Uma nova variante Rust de um ransomware conhecido como Agenda foi descoberta, marcando a mais recente adoção da linguagem de programação de plataforma cruzada, após casos semelhantes com o BlackCat, Hive, Luna e RansomExx. O Agenda, atribuído ao operador Qilin, é um grupo de Ransomware as a Service (RaaS) associado a uma série de ataques direcionados principalmente aos setores de manufatura e TI em diferentes países.
Uma versão anterior desse ransomware, desenvolvida em Go e personalizada para cada vítima, tinha como alvo os setores de saúde e educação em países como Indonésia, Arábia Saudita, África do Sul e Tailândia.
Semelhante ao Royal ransomware, o Agenda introduz a ideia de criptografia parcial, também conhecida como criptografia intermitente. Isso é alcançado configurando parâmetros que determinam a porcentagem do conteúdo do arquivo a ser criptografada. Essa abordagem está se tornando popular entre os agentes de ransomware, pois permite uma criptografia mais rápida e evita detecções que dependem fortemente de operações de leitura/gravação de arquivos, conforme destacado por pesquisadores da Trend Micro em um relatório recente.
Ao analisar o binário do ransomware, observa-se que os arquivos criptografados recebem a extensão “MmXReVIxLV”, seguido pela exibição da nota de resgate em todos os diretórios. Além disso, a versão Rust do Agenda é capaz de encerrar o processo Windows AppInfo e desativar o Controle de Conta de Usuário (UAC). Este último é particularmente eficaz na mitigação do impacto do malware, exigindo acesso administrativo para iniciar um programa ou tarefa.
Os pesquisadores observam uma tendência em que os agentes de ameaças estão migrando para a linguagem Rust, pois ela é mais desafiadora de analisar e possui uma taxa de detecção mais baixa pelos mecanismos antivírus.