De nieuwe ransomware van Rook is gebaseerd op de Babuk-broncode

Sentinel One-experts hebben ontdekt een nieuwe ransomware Rook, die lijkt te zijn gebaseerd op de lang gelekte broncode van de Babuk-ransomware.

De malware-payload wordt meestal geleverd via: Cobalt Strike, phishing-e-mails en illegale torrents gebruiken als de eerste infectievector. Voor meer stealth, toren payloads worden verpakt met behulp van UPX of andere cryptografische middelen.

Wanneer gelanceerd, de ransomware probeert alle processen te beëindigen die verband houden met beveiligingsmechanismen of andere dingen die ook de codering kunnen onderbreken.

interessant genoeg, in sommige gevallen komt het kph.sys-stuurprogramma van de Process Hacker in het spel wanneer processen worden afgesloten, maar in andere niet. Dit lijkt te wijten te zijn aan de noodzaak voor aanvallers om een ​​stuurprogramma te gebruiken om bepaalde lokale beveiligingsoplossingen voor bepaalde acties uit te schakelen.experts zeggen.

Het rapport merkt ook op dat Rook vssadmin.exe gebruikt om schaduwkopieën te verwijderen.

Tot dusver, onderzoekers hebben geen pinning-mechanismen op het systeem gevonden, dus Rook versleutelt bestanden door er de .Rook-extensie aan toe te voegen, en verwijdert zichzelf vervolgens van de gecompromitteerde machine.

De onderzoekers schrijven dat ze veel code-overeenkomsten hebben opgemerkt tussen Rook en Babuk, waarvan de broncode in de herfst van dit jaar op een Russischtalig forum werd gepubliceerd 2021. Bijvoorbeeld, Rook gebruikt dezelfde API-aanroepen om de naam en status van elke actieve service te krijgen, en dezelfde functies om ze te doden. In aanvulling op, de lijst met geëlimineerde Windows-processen en -services is hetzelfde voor beide ransomware (inclusief: Stoom, Microsoft Office en Outlook e-mailclient, net zoals Mozilla Firefox en Thunderbird). Als resultaat, Sentinel One experts concluderen dat Rook is gebaseerd op de Babuk-broncode.

de toren “plaats van lekken” heeft al de gegevens van twee slachtoffers gepost: een bank en een Indiaas bedrijf werkzaam in de lucht- en ruimtevaartindustrie. Informatie van beide slachtoffers is deze maand toegevoegd, wat betekent dat het lijkt alsof de groep net begint.

Laat me je eraan herinneren dat we dat schreven Concert ransomware valt Minecraft-servers aan, zo goed als dat Onderzoekers ontdekten ALPHV ransomware geschreven in Rust.

Helga Smith

Ik was altijd al geïnteresseerd in informatica, vooral gegevensbeveiliging en het thema, die tegenwoordig heet "datawetenschap", sinds mijn vroege tienerjaren. Voordat je als hoofdredacteur bij het Virus Removal-team komt, Ik heb bij verschillende bedrijven als cybersecurity-expert gewerkt, waaronder een van Amazon's aannemers. Nog een ervaring: Ik heb les aan de universiteiten van Arden en Reading.

Laat een antwoord achter

Deze website maakt gebruik van Akismet om spam te verminderen. Leer hoe je reactie gegevens worden verwerkt.

Terug naar boven knop