O novo ransomware do Rook é baseado no código-fonte do Babuk

Helga Smithjaneiro 4, 2022Última Actualização janeiro 5, 2022
52 lido 1 minuto

Especialistas do Sentinel One ter descoberto uma nova torre de ransomware, que parece ser baseado no código-fonte do ransomware Babuk que vazou há muito tempo.

A carga útil do malware geralmente é entregue via Cobalt Strike, usando e-mails de phishing e torrents piratas como o vetor de infecção inicial. Para mais discrição, Torre cargas úteis são empacotadas usando UPX ou outros meios criptográficos.

Quando lançado, o ransomware tenta encerrar quaisquer processos relacionados a mecanismos de segurança ou outras coisas que também podem interromper a criptografia.

Interessantemente, em alguns casos, o driver kph.sys do Process Hacker entra em ação quando os processos estão sendo encerrados, mas em outros não. Isso parece ser devido à necessidade de os invasores usarem um driver para desabilitar certas soluções de segurança local para certas ações.Especialistas dizem.

O relatório também observa que Rook usa vssadmin.exe para remover cópias de sombra.

Até aqui, pesquisadores não encontraram nenhum mecanismo de fixação no sistema, então Rook criptografa arquivos adicionando a extensão .Rook a eles, e, em seguida, exclui-se da máquina comprometida.

Os pesquisadores escreveram que notaram inúmeras semelhanças de código entre Rook e Babuk, cujo código-fonte foi publicado em um fórum de língua russa no outono de 2021. Por exemplo, Rook usa as mesmas chamadas de API para obter o nome e o status de cada serviço em execução, e as mesmas funções para matá-los. além do que, além do mais, a lista de processos e serviços eliminados do Windows é a mesma para ransomware (Incluindo: Vapor, Microsoft Cliente de e-mail do Office e Outlook, assim como Mozilla Firefox e Thunderbird). Como um resultado, Sentinela Um especialistas concluem que Rook é baseado no código-fonte do Babuk.

A torre “site de vazamentos” já postou os dados de duas vítimas: um banco e uma empresa indiana que trabalha na indústria de aviação e aeroespacial. Informações de ambas as vítimas foram adicionadas este mês, o que significa que parece que o grupo está apenas começando.

Deixe-me lembrá-lo de que escrevemos isso Show ransomware ataca servidores Minecraft, bem como isso Pesquisadores descobriram ALPHV ransomware escrito em Rust.

Tag
Helga Smithjaneiro 4, 2022Última Actualização janeiro 5, 2022
52 lido 1 minuto

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo