Rooks nye ransomware er baseret på Babuk kildekode

Sentinel One-eksperter har opdaget en ny ransomware Rook, som ser ud til at være baseret på den længe lækkede kildekode til Babuk ransomware.

Malware-nyttelasten leveres normalt via Koboltstrejke, ved at bruge phishing-e-mails og piratkopierede torrents som den indledende infektionsvektor. For mere stealth, Rook nyttelast pakkes ved hjælp af UPX eller andre kryptografiske midler.

Når den er lanceret, ransomwaren forsøger at afslutte alle processer relateret til sikkerhedsmekanismer eller andre ting, der også kan afbryde kryptering.

Rapporten bemærker også, at Rook bruger vssadmin.exe til at fjerne skyggekopier.

Indtil nu, forskere har ikke fundet nogen fastgørelsesmekanismer på systemet, så Rook krypterer filer ved at tilføje .Rook-udvidelsen til dem, og sletter derefter sig selv fra den kompromitterede maskine.

Forskerne skriver, at de bemærkede adskillige kodeligheder mellem Rook og Babuk, hvis kildekode blev offentliggjort på et russisksproget forum i efteråret 2021. For eksempel, Rook bruger de samme API-kald til at få navn og status for hver kørende tjeneste, og de samme funktioner til at dræbe dem. Desuden, listen over eliminerede Windows-processer og -tjenester er den samme for begge ransomware (inklusive: Damp, Microsoft Office og Outlook e-mail-klient, såvel som Mozilla Firefox og Thunderbird). Som resultat, Sentinel One eksperter konkluderer, at Rook er baseret på Babuk-kildekoden.

Lad mig minde dig om, at vi skrev det Koncert ransomware angriber Minecraft-servere, såvel som det Forskere opdagede ALPHV ransomware skrevet i Rust.