Rooks nye løsepengevare er basert på Babuk-kildekoden
Sentinel One-eksperter har oppdaget en ny løsepengevare Rook, som ser ut til å være basert på den lenge lekkede kildekoden til Babuk-ransomware.
Skadevarenyttelasten leveres vanligvis via Koboltstreik, bruker phishing-e-poster og piratkopierte torrenter som den første infeksjonsvektoren. For mer sniking, tårn nyttelaster pakkes ved hjelp av UPX eller andre kryptografiske midler.
Når den er lansert, løsepengevaren prøver å avslutte alle prosesser relatert til sikkerhetsmekanismer eller andre ting som også kan forstyrre kryptering.
Rapporten bemerker også at Rook bruker vssadmin.exe for å fjerne skyggekopier.
Så langt, forskere har ikke funnet noen låsemekanismer på systemet, så Rook krypterer filer ved å legge til .Rook-utvidelsen til dem, og sletter seg selv fra den kompromitterte maskinen.
Forskerne skriver at de la merke til mange kodelikheter mellom Rook og Babuk, hvis kildekode ble publisert på et russiskspråklig forum høsten 2021. For eksempel, Rook bruker de samme API-kallene for å få navnet og statusen til hver tjeneste som kjører, og de samme funksjonene for å drepe dem. I tillegg, listen over eliminerte Windows-prosesser og -tjenester er den samme for begge løsepengeprogrammer (gjelder også: Damp, Microsoft Office og Outlook e-postklient, i tillegg til Mozilla Firefox og Thunderbird). Som et resultat, Sentinel One eksperter konkluderer med at Rook er basert på Babuk-kildekoden.
La meg minne deg på at vi skrev det Konsert ransomware angriper Minecraft-servere, så godt som det Forskere oppdaget ALPHV løsepengevare skrevet i Rust.
