Rookの新しいランサムウェアは、Babukのソースコードに基づいています

センチネルワンの専門家 発見した 新しいランサムウェアRook, これは、Babukランサムウェアの長い間漏えいしたソースコードに基づいているようです.

マルウェアのペイロードは通常、 コバルトストライク, フィッシングメールと海賊版トレントを最初の感染ベクトルとして使用する. より多くのステルスのために, ルーク ペイロードは、UPXまたはその他の暗号化手段を使用してパッケージ化されます.

発売時, ランサムウェアは、セキュリティメカニズムまたは暗号化を中断する可能性のあるその他のものに関連するプロセスを終了しようとします.

レポートには、Rookがvssadmin.exeを使用してシャドウコピーを削除していることも記載されています.

ここのところ, 研究者は、システム上にピン留めメカニズムを発見していません, したがって、Rookは、ファイルに.Rook拡張子を追加してファイルを暗号化します。, 侵入先のマシンから自分自身を削除します.

研究者は、RookとRookの間の多くのコードの類似性に気づいたと書いています バブク, そのソースコードは、秋にロシア語のフォーラムで公開されました 2021. 例えば, Rookは同じAPI呼び出しを使用して、実行中の各サービスの名前とステータスを取得します, そしてそれらを殺すための同じ機能. 加えて, 削除されたWindowsプロセスとサービスのリストは、両方のランサムウェアで同じです (含む: 蒸気, マイクロソフト OfficeおよびOutlook電子メールクライアント, としても Mozilla FirefoxとThunderbird). 結果として, センチネルワン 専門家は、RookはBabukソースコードに基づいていると結論付けています.

私たちがそれを書いたことを思い出させてください コンサート ランサムウェアがMinecraftサーバーを攻撃する, 同様にそのように 研究者は発見した ALPHV Rustで書かれたランサムウェア.