Rooks neue Ransomware basiert auf dem Quellcode von Babuk

Sentinel One-Experten entdeckt haben eine neue Ransomware Rook, die auf dem seit langem durchgesickerten Quellcode der Babuk-Ransomware zu basieren scheint.

Die Malware-Nutzlast wird normalerweise über Kobaltschlag, Verwendung von Phishing-E-Mails und raubkopierten Torrents als erster Infektionsvektor. Für mehr Tarnung, Turm Nutzlasten werden mit UPX oder anderen kryptografischen Mitteln verpackt.

Beim Start, Die Ransomware versucht, alle Prozesse im Zusammenhang mit Sicherheitsmechanismen oder anderen Dingen zu beenden, die auch die Verschlüsselung unterbrechen könnten.

Interessant, in einigen Fällen kommt der kph.sys-Treiber des Process Hackers zum Einsatz, wenn Prozesse heruntergefahren werden, aber bei anderen nicht. Dies scheint darauf zurückzuführen zu sein, dass Angreifer einen Treiber verwenden müssen, um bestimmte lokale Sicherheitslösungen für bestimmte Aktionen zu deaktivieren.Experten sagen.

Der Bericht stellt auch fest, dass Rook vssadmin.exe verwendet, um Schattenkopien zu entfernen.

Bisher, Forscher haben keine Pinning-Mechanismen am System gefunden, also verschlüsselt Rook Dateien, indem er ihnen die Erweiterung .Rook hinzufügt, und löscht sich dann von der kompromittierten Maschine.

Die Forscher schreiben, dass ihnen zahlreiche Code-Ähnlichkeiten zwischen Rook und . aufgefallen sind Babuk, deren Quellcode im Herbst in einem russischsprachigen Forum veröffentlicht wurde 2021. Zum Beispiel, Rook verwendet dieselben API-Aufrufe, um den Namen und den Status jedes laufenden Dienstes abzurufen, und die gleichen Funktionen, um sie zu töten. In Ergänzung, die Liste der eliminierten Windows-Prozesse und -Dienste ist für beide Ransomware gleich (einschließlich: Dampf, Microsoft Office- und Outlook-E-Mail-Client, ebenso gut wie Mozilla Firefox und Thunderbird). Als Ergebnis, Sentinel One Experten kommen zu dem Schluss, dass Rook auf dem Quellcode von Babuk basiert.

Der Turm “Leckstelle” hat bereits die Daten von zwei Opfern gepostet: eine Bank und ein indisches Unternehmen in der Luft- und Raumfahrtindustrie. Informationen von beiden Opfern wurden diesen Monat hinzugefügt, was bedeutet, dass es so aussieht, als ob die Gruppe gerade erst angefangen hat.

Lass mich dich daran erinnern, dass wir das geschrieben haben Konzert Ransomware greift Minecraft-Server an, genauso wie das Forscher entdeckten Die Malware-Entwickler selbst nennen es in Rust geschriebene Ransomware.

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"