Nowe oprogramowanie ransomware Rooka jest oparte na kodzie źródłowym Babuk

Eksperci Sentinel One odkrył nowa wieża ransomware, który wydaje się być oparty na dawno ujawnionym kodzie źródłowym ransomware Babuk.

Ładunek złośliwego oprogramowania jest zwykle dostarczany przez Uderzenie kobaltu, używanie wiadomości phishingowych i pirackich torrentów jako początkowego wektora infekcji. Aby uzyskać więcej ukrycia, Wieża ładunki są pakowane przy użyciu UPX lub innych środków kryptograficznych.

Po uruchomieniu, ransomware próbuje zakończyć wszelkie procesy związane z mechanizmami bezpieczeństwa lub innymi rzeczami, które mogą również przerwać szyfrowanie.

co ciekawe, w niektórych przypadkach sterownik kph.sys Process Hacker wchodzi w grę, gdy procesy są zamykane, ale w innych tak nie jest. Wydaje się to być spowodowane tym, że atakujący muszą użyć sterownika do wyłączenia niektórych lokalnych rozwiązań bezpieczeństwa dla określonych działań.eksperci mówią.

Raport zauważa również, że Rook używa vssadmin.exe do usuwania kopii w tle.

Jak dotąd, badacze nie znaleźli żadnych mechanizmów przypinania w systemie, więc Rook szyfruje pliki, dodając do nich rozszerzenie .Rook, a następnie usuwa się z zaatakowanej maszyny.

Naukowcy piszą, że zauważyli liczne podobieństwa w kodzie między Rookiem a Babuk, którego kod źródłowy został opublikowany na rosyjskojęzycznym forum jesienią 2021. Na przykład, Rook używa tych samych wywołań API, aby uzyskać nazwę i stan każdej działającej usługi, i te same funkcje, aby je zabić. Dodatkowo, lista usuniętych procesów i usług Windows jest taka sama dla obu ransomware (łącznie z: Parowy, Microsoft Klient poczty e-mail Office i Outlook, jak również Mozilla Firefox i Thunderbird). W rezultacie, Strażnik Jeden eksperci doszli do wniosku, że Rook jest oparty na kodzie źródłowym Babuk.

Wieża „miejsce przecieków” opublikował już dane dwóch ofiar: bank i indyjska firma działająca w branży lotniczej i kosmicznej. Informacje od obu ofiar zostały dodane w tym miesiącu, co oznacza, że ​​wygląda na to, że grupa dopiero się rozkręca.

Przypomnę, że to napisaliśmy Koncert ransomware atakuje serwery Minecraft, a także, że Naukowcy odkryli ALPHV ransomware napisane w języku Rust.

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry