Rook의 새로운 랜섬웨어는 Babuk 소스 코드를 기반으로 합니다.

센티넬 원 전문가 발견했다 새로운 랜섬웨어 루크, 바북 랜섬웨어의 장기간 유출된 소스 코드를 기반으로 한 것으로 보입니다..

맬웨어 페이로드는 일반적으로 다음을 통해 전달됩니다. 코발트 스트라이크, 피싱 이메일 및 불법 복제 토렌트를 초기 감염 벡터로 사용. 더 많은 스텔스를 위해, 사기꾼 페이로드는 UPX 또는 기타 암호화 수단을 사용하여 패키징됩니다..

출시 시, 랜섬웨어는 보안 메커니즘 또는 암호화를 방해할 수 있는 기타 사항과 관련된 모든 프로세스를 종료하려고 시도합니다..

재미있게, 경우에 따라 프로세스가 종료될 때 Process Hacker의 kph.sys 드라이버가 작동합니다., 그러나 다른 사람들에서는 그렇지 않습니다. 이것은 공격자가 드라이버를 사용하여 특정 작업에 대한 특정 로컬 보안 솔루션을 비활성화할 필요가 있기 때문인 것으로 보입니다..전문가들은 말한다.

보고서에 따르면 Rook은 vssadmin.exe를 사용하여 섀도 복사본을 제거합니다..

지금까지, 연구원은 시스템에서 고정 메커니즘을 찾지 못했습니다., 그래서 Rook은 파일에 .Rook 확장자를 추가하여 파일을 암호화합니다., 그런 다음 손상된 시스템에서 자신을 삭제합니다..

연구원들은 Rook과 바북, 그의 소스 코드는 가을에 러시아어 포럼에 게시되었습니다. 2021. 예를 들면, Rook은 동일한 API 호출을 사용하여 실행 중인 각 서비스의 이름과 상태를 가져옵니다., 그리고 그들을 죽이는 동일한 기능. 게다가, 제거된 Windows 프로세스 및 서비스 목록은 두 랜섬웨어 모두에서 동일합니다. (포함: 증기, 마이크로 소프트 Office 및 Outlook 이메일 클라이언트, 게다가 모질라 파이어폭스와 썬더버드). 결과적으로, 센티넬 원 전문가들은 Rook이 Babuk 소스 코드를 기반으로 한다고 결론지었습니다..

더 룩 “누출 부위” 이미 두 명의 피해자 데이터를 게시했습니다.: 항공 및 항공 우주 산업에서 일하는 은행 및 인도 회사. 이번 달에 두 희생자의 정보가 추가되었습니다., 그룹이 막 시작하는 것처럼 보입니다..

우리가 그것을 썼다는 것을 상기시켜 드리겠습니다. 콘서트 랜섬웨어 공격 마인크래프트 서버, 뿐만 아니라 연구원들이 발견한 알파베 Rust로 작성된 랜섬웨어.

헬가 스미스

저는 항상 컴퓨터 과학에 관심이있었습니다, 특히 데이터 보안 및 테마, 요즘은 "데이터 과학", 10 대 초반부터. 편집장으로 바이러스 제거 팀에 오기 전, 저는 여러 회사에서 사이버 보안 전문가로 일했습니다., 아마존 계약자 중 한 명 포함. 또 다른 경험: 나는 Arden과 Reading 대학에서 가르치고 있습니다..

회신을 남겨주

이 사이트는 스팸을 줄이기 위해 Akismet 플러그를 사용. 귀하의 코멘트 데이터가 처리되는 방법 알아보기.

맨 위로 버튼