در این گزارش به بررسی و تحلیل باجافزار RansomExx در سطوح مختلف پرداخته شده است. خانواده باجافزاری RansomExx که تحت عناوین DEFRAY۷۷۷ و Ransom X نیز شناخته میشود، به صورت یک Payload کاملا مستقر در حافظه اجرا میشود (مکانیزم Fileless).
به گزارش فاواپرس به نقل از مرکز افتا، این باجافزار در چهار حمله بزرگ به مراکزی همچون سازمان شهرداری و حمل و نقل شهر تگزاس آمریکا (اردیبهشت ۱۳۹۹)، شرکت Konica Minolta (تیر ۱۳۹۹)، زیرساخت فناوری اطلاعات دادگستری برزیل (آبان ۱۳۹۹) و شرکت صنایع GigaByte (مرداد ۱۴۰۰) بکار گرفته شده است. بعلاوه لازم به ذکر است که گردانندگان این کمپین باجافزاری در یک اقدام انتحاری مورخ آذر ۱۳۹۹ تصمیم به انتشار داده های شرکت Embraer – یکی از بزرگترین شرکت های هواپیماسازی در دنیا – گرفتند که یکی از پرچالش ترین و پر سروصداترین وقایع اخاذی در دنیای باجافزارها بود.
در میانه سال ۲۰۲۰ یک ورژن لینوکسی نیز از این باجافزار ظهور یافت. این ورژن صرف نظر از شباهت هایی که با ورژن ویندوزی داشت، از آن ساده تر و فاقد بسیاری از قابلیت های موجود در آن است؛ از جمله غیرفعال کردن محصولات امنیتی و عدم پیاده سازی زیرسیستم ارتباط با C&C. همچنین در برخی از گزارشاتِ حمله باجافزاری در سطح اینترنت، اذعان شده است که پس از بارگذاری در حافظه، بوسیله Colbalt Strike نسبت به اجرای این باجافزار اقدام شده است.
دانلود تحلیل تهدید باجافزاری RansomExx با فرمت PDF