Rookin uusi kiristysohjelma perustuu Babuk-lähdekoodiin

Helga Smithtammikuu 4, 2022Viimeksi päivitetty: tammikuu 5, 2022
52 1 minuutti luettu

Sentinel One -asiantuntijat ovat löytäneet uusi lunnasohjelma Rook, joka näyttää perustuvan pitkään vuotaneeseen Babuk ransomwaren lähdekoodiin.

Haittaohjelmien hyötykuorma toimitetaan yleensä kautta Kobolttilakko, käyttämällä phishing-sähköpostiviestejä ja piraattitorrenteja alkuperäisenä tartuntavektorina. Lisää varkautta, Rook hyötykuormat pakataan UPX:llä tai muilla salausmenetelmillä.

Kun käynnistetään, kiristysohjelma yrittää lopettaa kaikki turvamekanismeihin tai muihin asioihin liittyvät prosessit, jotka voivat myös keskeyttää salauksen.

Mielenkiintoista, joissakin tapauksissa Process Hackerin kph.sys-ohjain tulee käyttöön, kun prosesseja suljetaan, mutta toisissa ei. Tämä näyttää johtuvan siitä, että hyökkääjien on käytettävä ohjainta poistaakseen käytöstä tietyt paikalliset suojausratkaisut tiettyjä toimia varten.asiantuntijat sanovat.

Raportissa todetaan myös, että Rook käyttää vssadmin.exe-tiedostoa varjokopioiden poistamiseen.

Niin kaukana, tutkijat eivät ole löytäneet järjestelmästä kiinnitysmekanismeja, joten Rook salaa tiedostot lisäämällä niihin .Rook-laajennuksen, ja sitten poistaa itsensä vaarantuneelta koneelta.

Tutkijat kirjoittavat, että he huomasivat lukuisia koodien yhtäläisyyksiä Rookin ja Babuk, jonka lähdekoodi julkaistiin venäjänkielisellä foorumilla syksyllä 2021. Esimerkiksi, Rook käyttää samoja API-kutsuja saadakseen jokaisen käynnissä olevan palvelun nimen ja tilan, ja samat toiminnot tappaa heidät. Lisäksi, poistettujen Windows-prosessien ja -palveluiden luettelo on sama molemmille kiristysohjelmille (mukaan lukien: Höyry, Microsoft Office- ja Outlook-sähköpostiohjelma, yhtä hyvin kuin mozilla Firefox ja Thunderbird). Tuloksena, Sentinel One Asiantuntijat päättelevät, että Rook perustuu Babukin lähdekoodiin.

Torni “vuotojen paikka” on jo julkaissut kahden uhrin tiedot: pankki ja intialainen lento- ja avaruusteollisuudessa työskentelevä yritys. Molempien uhrien tiedot lisättiin tässä kuussa, mikä tarkoittaa, että näyttää siltä, ​​​​että ryhmä on vasta aloittamassa.

Haluan muistuttaa, että me kirjoitimme sen Konsertti ransomware hyökkää Minecraft-palvelimiin, yhtä hyvin kuin Tutkijat löysivät ALPHV Rust-kielellä kirjoitettu kiristysohjelma.

Tunnisteet
Helga Smithtammikuu 4, 2022Viimeksi päivitetty: tammikuu 5, 2022
52 1 minuutti luettu

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike