תוכנת הכופר החדשה של Rook מבוססת על קוד המקור של Babuk
מומחי Sentinel One גילה רוק חדש של תוכנת כופר, אשר נראה מבוסס על קוד המקור שדלף זמן רב של תוכנת הכופר Babuk.
מטען התוכנה הזדונית מועבר בדרך כלל באמצעות שביתת קובלט, שימוש במייל דיוג וטורנטים פיראטיים בתור וקטור ההדבקה הראשוני. לעוד התגנבות, צָרִיחַ מטענים ארוזים באמצעות UPX או אמצעי קריפטוגרפיים אחרים.
כאשר הושק, תוכנת הכופר מנסה להפסיק תהליכים הקשורים למנגנוני אבטחה או דברים אחרים שעלולים גם להפריע להצפנה.
הדוח מציין גם ש-Rook משתמש ב-vssadmin.exe כדי להסיר עותקי צל.
עד כה, חוקרים לא מצאו מנגנוני הצמדה על המערכת, כך ש-Rook מצפין קבצים על-ידי הוספת סיומת .Rook אליהם, ולאחר מכן מוחק את עצמו מהמחשב שנפרץ.
החוקרים כותבים שהם הבחינו בקווי דמיון רבים בין Rook ו באבוק, שקוד המקור שלו פורסם בפורום בשפה הרוסית בסתיו 2021. לדוגמה, Rook משתמש באותן קריאות API כדי לקבל את השם והסטטוס של כל שירות פועל, ואותן פונקציות להרוג אותם. בנוסף, רשימת התהליכים והשירותים של Windows שהוסרו זהה עבור שני תוכנות הכופר (לְרַבּוֹת: קִיטוֹר, מיקרוסופט לקוח דואר אלקטרוני של Office ו-Outlook, ממש כמו מוזילה פיירפוקס ו-Thunderbird). כתוצאה, Sentinel One מומחים מסיקים ש-Rook מבוסס על קוד המקור של Babuk.
תן לי להזכיר לך שכתבנו את זה קוֹנצֶרט תוכנת כופר תוקפת את שרתי Minecraft, כמו גם ש חוקרים גילו ALPHV תוכנת כופר שנכתבה ב- Rust.