O novo ransomware do Rook é baseado no código-fonte do Babuk

Especialistas do Sentinel One ter descoberto uma nova torre de ransomware, que parece ser baseado no código-fonte do ransomware Babuk que vazou há muito tempo.

A carga útil do malware geralmente é entregue via Cobalt Strike, usando e-mails de phishing e torrents piratas como o vetor de infecção inicial. Para mais discrição, Torre cargas úteis são empacotadas usando UPX ou outros meios criptográficos.

Quando lançado, o ransomware tenta encerrar quaisquer processos relacionados a mecanismos de segurança ou outras coisas que também podem interromper a criptografia.

Interessantemente, em alguns casos, o driver kph.sys do Process Hacker entra em ação quando os processos estão sendo encerrados, mas em outros não. Isso parece ser devido à necessidade de os invasores usarem um driver para desabilitar certas soluções de segurança local para certas ações.Especialistas dizem.

O relatório também observa que Rook usa vssadmin.exe para remover cópias de sombra.

Até aqui, pesquisadores não encontraram nenhum mecanismo de fixação no sistema, então Rook criptografa arquivos adicionando a extensão .Rook a eles, e, em seguida, exclui-se da máquina comprometida.

Os pesquisadores escreveram que notaram inúmeras semelhanças de código entre Rook e Babuk, cujo código-fonte foi publicado em um fórum de língua russa no outono de 2021. Por exemplo, Rook usa as mesmas chamadas de API para obter o nome e o status de cada serviço em execução, e as mesmas funções para matá-los. além do que, além do mais, a lista de processos e serviços eliminados do Windows é a mesma para ransomware (Incluindo: Vapor, Microsoft Cliente de e-mail do Office e Outlook, assim como Mozilla Firefox e Thunderbird). Como um resultado, Sentinela Um especialistas concluem que Rook é baseado no código-fonte do Babuk.

A torre “site de vazamentos” já postou os dados de duas vítimas: um banco e uma empresa indiana que trabalha na indústria de aviação e aeroespacial. Informações de ambas as vítimas foram adicionadas este mês, o que significa que parece que o grupo está apenas começando.

Deixe-me lembrá-lo de que escrevemos isso Show ransomware ataca servidores Minecraft, bem como isso Pesquisadores descobriram ALPHV ransomware escrito em Rust.

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo