Το νέο ransomware του Rook βασίζεται στον πηγαίο κώδικα Babuk

Εμπειρογνώμονες Sentinel One έχουν ανακαλύψει ένα νέο ransomware Rook, που φαίνεται να βασίζεται στον πηγαίο κώδικα του ransomware Babuk που είχε διαρρεύσει εδώ και καιρό.

Το ωφέλιμο φορτίο κακόβουλου λογισμικού συνήθως παραδίδεται μέσω Cobalt Strike, χρησιμοποιώντας email phishing και πειρατικά torrents ως αρχικό φορέα μόλυνσης. Για περισσότερο stealth, Κορώνη Τα ωφέλιμα φορτία συσκευάζονται χρησιμοποιώντας UPX ή άλλα κρυπτογραφικά μέσα.

Όταν εκτοξεύτηκε, το ransomware προσπαθεί να τερματίσει οποιεσδήποτε διαδικασίες που σχετίζονται με μηχανισμούς ασφαλείας ή άλλα πράγματα που μπορεί επίσης να διακόψουν την κρυπτογράφηση.

Η αναφορά σημειώνει επίσης ότι ο Rook χρησιμοποιεί το vssadmin.exe για να αφαιρέσει τα σκιερά αντίγραφα.

Μέχρι τώρα, Οι ερευνητές δεν έχουν βρει μηχανισμούς καρφίτσωσης στο σύστημα, έτσι ο Rook κρυπτογραφεί τα αρχεία προσθέτοντας την επέκταση .Rook σε αυτά, και στη συνέχεια διαγράφεται από το μηχάνημα που έχει παραβιαστεί.

Οι ερευνητές γράφουν ότι παρατήρησαν πολλές ομοιότητες κώδικα μεταξύ του Rook και του Μπαμπούκ, του οποίου ο πηγαίος κώδικας δημοσιεύτηκε σε ρωσόφωνο φόρουμ το φθινόπωρο του 2021. Για παράδειγμα, Ο Rook χρησιμοποιεί τις ίδιες κλήσεις API για να λάβει το όνομα και την κατάσταση κάθε υπηρεσίας που εκτελείται, και τις ίδιες λειτουργίες για να τους σκοτώσει. Επιπλέον, η λίστα των διαδικασιών και υπηρεσιών των Windows που έχουν εξαλειφθεί είναι η ίδια και για τα δύο ransomware (συμπεριλαμβανομένου: Ατμός, Microsoft Πρόγραμμα-πελάτης email του Office και του Outlook, καθώς Mozilla Firefox και Thunderbird). Σαν άποτέλεσμα, Sentinel One Οι ειδικοί καταλήγουν στο συμπέρασμα ότι ο Rook βασίζεται στον πηγαίο κώδικα Babuk.

Να σας θυμίσω ότι το γράψαμε Συναυλία ransomware επιτίθεται σε διακομιστές Minecraft, καθώς και αυτό Οι ερευνητές ανακάλυψαν ALPHV ransomware γραμμένο σε Rust.