Il nuovo ransomware di Rook si basa sul codice sorgente di Babuk

Helga Smithgennaio 4, 2022Ultimo aggiornamento: gennaio 5, 2022
52 1 lettura minuto

Esperti di Sentinel One ho scoperto un nuovo ransomware Rook, che sembra essere basato sul codice sorgente trapelato da tempo del ransomware Babuk.

Il payload del malware viene solitamente consegnato tramite Colpo di cobalto, utilizzando e-mail di phishing e torrent piratati come vettore di infezione iniziale. Per più furtività, Torre i payload sono impacchettati utilizzando UPX o altri mezzi crittografici.

Quando lanciato, il ransomware tenta di terminare qualsiasi processo relativo a meccanismi di sicurezza o altre cose che potrebbero anche interrompere la crittografia.

interessante, in alcuni casi il driver kph.sys di Process Hacker entra in gioco quando i processi si stanno arrestando, ma in altri no. Ciò sembra essere dovuto alla necessità per gli aggressori di utilizzare un driver per disabilitare determinate soluzioni di sicurezza locali per determinate azioni.dicono gli esperti.

Il rapporto rileva inoltre che Rook utilizza vssadmin.exe per rimuovere le copie shadow.

Finora, i ricercatori non hanno trovato alcun meccanismo di blocco sul sistema, quindi Rook crittografa i file aggiungendo loro l'estensione .Rook, e poi si cancella dalla macchina compromessa.

I ricercatori scrivono di aver notato numerose somiglianze di codice tra Rook e Babuk, il cui codice sorgente è stato pubblicato su un forum in lingua russa nell'autunno del 2021. Per esempio, Rook utilizza le stesse chiamate API per ottenere il nome e lo stato di ciascun servizio in esecuzione, e le stesse funzioni per ucciderli. Inoltre, l'elenco dei processi e dei servizi di Windows eliminati è lo stesso per entrambi i ransomware (Compreso: Vapore, Microsoft Client di posta elettronica Office e Outlook, così come Mozilla Firefox e Thunderbird). Di conseguenza, Sentinella Uno gli esperti concludono che Rook si basa sul codice sorgente Babuk.

la torre “sito di perdite” ha già pubblicato i dati di due vittime: una banca e un'azienda indiana operanti nel settore aeronautico e aerospaziale. Le informazioni di entrambe le vittime sono state aggiunte questo mese, il che significa che sembra che il gruppo sia appena iniziato.

Lascia che ti ricordi che l'abbiamo scritto Concerto ransomware attacca i server Minecraft, così come quello I ricercatori hanno scoperto ALPHV ransomware scritto in Rust.

tag
Helga Smithgennaio 4, 2022Ultimo aggiornamento: gennaio 5, 2022
52 1 lettura minuto

Helga Smith

Sono sempre stato interessato all'informatica, in particolare la sicurezza dei dati e il tema, che si chiama oggi "scienza dei dati", dalla mia prima adolescenza. Prima di entrare nel team di rimozione virus come caporedattore, Ho lavorato come esperto di sicurezza informatica in diverse aziende, incluso uno degli appaltatori di Amazon. Un'altra esperienza: Ho l'insegnamento nelle università di Arden e Reading.

lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come il tuo commento dati vengono elaborati.

Pulsante Torna in alto