Le nouveau ransomware de Rook est basé sur le code source de Babuk

Helga Smithjanvier 4, 2022Dernière mise à jour: janvier 5, 2022
52 Temps de lecture 1 minute

Experts Sentinelle 1 a découvert un nouveau ransomware Rook, qui semble être basé sur le code source divulgué depuis longtemps du ransomware Babuk.

La charge utile du malware est généralement livrée via Frappe au cobalt, en utilisant des e-mails de phishing et des torrents piratés comme vecteur d'infection initial. Pour plus de discrétion, Tour les charges utiles sont empaquetées à l'aide d'UPX ou d'autres moyens cryptographiques.

Lors du lancement, le ransomware essaie de mettre fin à tous les processus liés aux mécanismes de sécurité ou à d'autres choses qui pourraient également interrompre le cryptage.

de façon intéressante, dans certains cas, le pilote kph.sys de Process Hacker entre en jeu lors de l'arrêt des processus, mais dans d'autres non. Cela semble être dû à la nécessité pour les attaquants d'utiliser un pilote pour désactiver certaines solutions de sécurité locales pour certaines actions.les experts disent.

Le rapport note également que Rook utilise vssadmin.exe pour supprimer les clichés instantanés.

Jusque là, les chercheurs n'ont trouvé aucun mécanisme d'épinglage sur le système, donc Rook crypte les fichiers en leur ajoutant l'extension .Rook, puis se supprime de la machine compromise.

Les chercheurs écrivent qu'ils ont remarqué de nombreuses similitudes de code entre Rook et Babouk, dont le code source a été publié sur un forum en langue russe à l'automne 2021. Par exemple, Rook utilise les mêmes appels d'API pour obtenir le nom et l'état de chaque service en cours d'exécution, et les mêmes fonctions pour les tuer. en outre, la liste des processus et services Windows éliminés est la même pour les deux ransomwares (comprenant: Fumer, Microsoft Client de messagerie Office et Outlook, aussi bien que Mozilla Firefox et Thunderbird). Par conséquent, Sentinelle 1 les experts concluent que Rook est basé sur le code source de Babuk.

la tour “site de fuites” a déjà posté les données de deux victimes: une banque et une entreprise indienne oeuvrant dans l'industrie aéronautique et aérospatiale. Des informations sur les deux victimes ont été ajoutées ce mois-ci, ce qui signifie qu'il semble que le groupe ne fait que commencer.

Permettez-moi de vous rappeler que nous avons écrit que Concert un ransomware attaque les serveurs Minecraft, aussi bien que ça Les chercheurs ont découvert ALPHV ransomware écrit en Rust.

Mots clés
Helga Smithjanvier 4, 2022Dernière mise à jour: janvier 5, 2022
52 Temps de lecture 1 minute

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page