Rooks neue Ransomware basiert auf dem Quellcode von Babuk
Sentinel One-Experten entdeckt haben eine neue Ransomware Rook, die auf dem seit langem durchgesickerten Quellcode der Babuk-Ransomware zu basieren scheint.
Die Malware-Nutzlast wird normalerweise über Kobaltschlag, Verwendung von Phishing-E-Mails und raubkopierten Torrents als erster Infektionsvektor. Für mehr Tarnung, Turm Nutzlasten werden mit UPX oder anderen kryptografischen Mitteln verpackt.
Beim Start, Die Ransomware versucht, alle Prozesse im Zusammenhang mit Sicherheitsmechanismen oder anderen Dingen zu beenden, die auch die Verschlüsselung unterbrechen könnten.
Der Bericht stellt auch fest, dass Rook vssadmin.exe verwendet, um Schattenkopien zu entfernen.
Bisher, Forscher haben keine Pinning-Mechanismen am System gefunden, also verschlüsselt Rook Dateien, indem er ihnen die Erweiterung .Rook hinzufügt, und löscht sich dann von der kompromittierten Maschine.
Die Forscher schreiben, dass ihnen zahlreiche Code-Ähnlichkeiten zwischen Rook und . aufgefallen sind Babuk, deren Quellcode im Herbst in einem russischsprachigen Forum veröffentlicht wurde 2021. Zum Beispiel, Rook verwendet dieselben API-Aufrufe, um den Namen und den Status jedes laufenden Dienstes abzurufen, und die gleichen Funktionen, um sie zu töten. In Ergänzung, die Liste der eliminierten Windows-Prozesse und -Dienste ist für beide Ransomware gleich (einschließlich: Dampf, Microsoft Office- und Outlook-E-Mail-Client, ebenso gut wie Mozilla Firefox und Thunderbird). Als Ergebnis, Sentinel One Experten kommen zu dem Schluss, dass Rook auf dem Quellcode von Babuk basiert.
Lass mich dich daran erinnern, dass wir das geschrieben haben Konzert Ransomware greift Minecraft-Server an, genauso wie das Forscher entdeckten Die Malware-Entwickler selbst nennen es in Rust geschriebene Ransomware.