De nieuwe ransomware van Rook is gebaseerd op de Babuk-broncode
Sentinel One-experts hebben ontdekt een nieuwe ransomware Rook, die lijkt te zijn gebaseerd op de lang gelekte broncode van de Babuk-ransomware.
De malware-payload wordt meestal geleverd via: Cobalt Strike, phishing-e-mails en illegale torrents gebruiken als de eerste infectievector. Voor meer stealth, toren payloads worden verpakt met behulp van UPX of andere cryptografische middelen.
Wanneer gelanceerd, de ransomware probeert alle processen te beëindigen die verband houden met beveiligingsmechanismen of andere dingen die ook de codering kunnen onderbreken.
Het rapport merkt ook op dat Rook vssadmin.exe gebruikt om schaduwkopieën te verwijderen.
Tot dusver, onderzoekers hebben geen pinning-mechanismen op het systeem gevonden, dus Rook versleutelt bestanden door er de .Rook-extensie aan toe te voegen, en verwijdert zichzelf vervolgens van de gecompromitteerde machine.
De onderzoekers schrijven dat ze veel code-overeenkomsten hebben opgemerkt tussen Rook en Babuk, waarvan de broncode in de herfst van dit jaar op een Russischtalig forum werd gepubliceerd 2021. Bijvoorbeeld, Rook gebruikt dezelfde API-aanroepen om de naam en status van elke actieve service te krijgen, en dezelfde functies om ze te doden. In aanvulling op, de lijst met geëlimineerde Windows-processen en -services is hetzelfde voor beide ransomware (inclusief: Stoom, Microsoft Office en Outlook e-mailclient, net zoals Mozilla Firefox en Thunderbird). Als resultaat, Sentinel One experts concluderen dat Rook is gebaseerd op de Babuk-broncode.
Laat me je eraan herinneren dat we dat schreven Concert ransomware valt Minecraft-servers aan, zo goed als dat Onderzoekers ontdekten ALPHV ransomware geschreven in Rust.
