Rooks nye løsepengevare er basert på Babuk-kildekoden

Sentinel One-eksperter har oppdaget en ny løsepengevare Rook, som ser ut til å være basert på den lenge lekkede kildekoden til Babuk-ransomware.

Skadevarenyttelasten leveres vanligvis via Koboltstreik, bruker phishing-e-poster og piratkopierte torrenter som den første infeksjonsvektoren. For mer sniking, tårn nyttelaster pakkes ved hjelp av UPX eller andre kryptografiske midler.

Når den er lansert, løsepengevaren prøver å avslutte alle prosesser relatert til sikkerhetsmekanismer eller andre ting som også kan forstyrre kryptering.

Interessant, i noen tilfeller kommer Process Hackers kph.sys-driver inn når prosessene stenges, men i andre gjør det ikke det. Dette ser ut til å skyldes behovet for angripere å bruke en driver for å deaktivere visse lokale sikkerhetsløsninger for visse handlinger.sier eksperter.

Rapporten bemerker også at Rook bruker vssadmin.exe for å fjerne skyggekopier.

Så langt, forskere har ikke funnet noen låsemekanismer på systemet, så Rook krypterer filer ved å legge til .Rook-utvidelsen til dem, og sletter seg selv fra den kompromitterte maskinen.

Forskerne skriver at de la merke til mange kodelikheter mellom Rook og Babuk, hvis kildekode ble publisert på et russiskspråklig forum høsten 2021. For eksempel, Rook bruker de samme API-kallene for å få navnet og statusen til hver tjeneste som kjører, og de samme funksjonene for å drepe dem. I tillegg, listen over eliminerte Windows-prosesser og -tjenester er den samme for begge løsepengeprogrammer (gjelder også: Damp, Microsoft Office og Outlook e-postklient, i tillegg til Mozilla Firefox og Thunderbird). Som et resultat, Sentinel One eksperter konkluderer med at Rook er basert på Babuk-kildekoden.

The Rook “stedet for lekkasjer” har allerede lagt ut dataene til to ofre: en bank og et indisk selskap som jobber i fly- og romfartsindustrien. Informasjon fra begge ofrene ble lagt til denne måneden, som betyr at det ser ut til at gruppen akkurat er i gang.

La meg minne deg på at vi skrev det Konsert ransomware angriper Minecraft-servere, så godt som det Forskere oppdaget ALPHV løsepengevare skrevet i Rust.

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen