El nuevo ransomware de Rook se basa en el código fuente de Babuk

Helga Smithenero 4, 2022Última actualización: enero 5, 2022
52 1 minuto de lectura

Expertos de Sentinel One haber descubierto una nueva torre de ransomware, que parece estar basado en el código fuente filtrado durante mucho tiempo del ransomware Babuk.

La carga útil del malware generalmente se envía a través de Golpe de cobalto, utilizando correos electrónicos de phishing y torrents pirateados como vector de infección inicial. Para más sigilo, Torre las cargas útiles se empaquetan utilizando UPX u otros medios criptográficos.

Cuando se lanza, el ransomware intenta terminar cualquier proceso relacionado con los mecanismos de seguridad u otras cosas que también podrían interrumpir el cifrado.

Curiosamente, en algunos casos, el controlador kph.sys del Process Hacker entra en juego cuando los procesos se cierran, pero en otros no. Esto parece deberse a la necesidad de que los atacantes utilicen un controlador para deshabilitar determinadas soluciones de seguridad local para determinadas acciones..los expertos dicen.

El informe también señala que Rook usa vssadmin.exe para eliminar instantáneas.

Hasta aquí, los investigadores no han encontrado ningún mecanismo de fijación en el sistema, entonces Rook cifra los archivos agregándoles la extensión .Rook, y luego se borra de la máquina comprometida.

Los investigadores escriben que notaron numerosas similitudes de código entre Rook y Babuk, cuyo código fuente fue publicado en un foro en ruso en el otoño de 2021. Por ejemplo, Rook usa las mismas llamadas a la API para obtener el nombre y el estado de cada servicio en ejecución, y las mismas funciones para matarlos. Adicionalmente, la lista de procesos y servicios de Windows eliminados es la misma para ambos ransomware (incluso: Vapor, microsoft Cliente de correo electrónico de Office y Outlook, así como también Mozilla Firefox y Thunderbird). Como resultado, Centinela uno los expertos concluyen que Rook se basa en el código fuente de Babuk.

La torre “sitio de fugas” ya ha publicado los datos de dos víctimas: un banco y una empresa india que trabaja en la industria aeronáutica y aeroespacial. Este mes se agregó información de ambas víctimas., lo que significa que parece que el grupo recién está comenzando.

Déjame recordarte que escribimos eso Concierto ransomware ataca los servidores de Minecraft, tan bueno como eso Los investigadores descubrieron ALPHV ransomware escrito en Rust.

Etiquetas
Helga Smithenero 4, 2022Última actualización: enero 5, 2022
52 1 minuto de lectura

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba