Rookův nový ransomware je založen na zdrojovém kódu Babuk

Experti na Sentinel One objevili nový ransomware Rook, který se zdá být založen na dlouho uniklém zdrojovém kódu ransomwaru Babuk.

Malware je obvykle doručován prostřednictvím Cobalt Strike, pomocí phishingových e-mailů a pirátských torrentů jako počátečního vektoru infekce. Pro více stealth, Havran užitečné zatížení je zabaleno pomocí UPX nebo jiných kryptografických prostředků.

Při spuštění, ransomware se pokouší ukončit všechny procesy související s bezpečnostními mechanismy nebo jinými věcmi, které by také mohly přerušit šifrování.

Zpráva také uvádí, že věž používá k odstranění stínových kopií vssadmin.exe.

Zatím, výzkumníci nenašli v systému žádné připínací mechanismy, takže Rook šifruje soubory přidáním přípony .Rook k nim, a poté se z napadeného počítače odstraní.

Výzkumníci píší, že si všimli četných podobností kódu mezi Rook a Babuk, jehož zdrojový kód byl zveřejněn na ruskojazyčném fóru na podzim roku 2021. Například, Rook používá stejná volání API k získání názvu a stavu každé spuštěné služby, a stejné funkce je zabít. Dále, seznam eliminovaných procesů a služeb Windows je stejný pro oba ransomware (počítaje v to: Pára, Microsoft E-mailový klient Office a Outlook, jakož i Mozilla Firefox a Thunderbird). Jako výsledek, Sentinel One odborníci docházejí k závěru, že Rook je založen na zdrojovém kódu Babuk.

Dovolte mi, abych vám připomněl, že jsme to psali Koncert ransomware útočí na servery Minecraft, stejně jako to Výzkumníci zjistili ALPHV ransomware napsaný v Rustu.