O novo ransomware do Rook é baseado no código-fonte do Babuk
Especialistas do Sentinel One ter descoberto uma nova torre de ransomware, que parece ser baseado no código-fonte do ransomware Babuk que vazou há muito tempo.
A carga útil do malware geralmente é entregue via Cobalt Strike, usando e-mails de phishing e torrents piratas como o vetor de infecção inicial. Para mais discrição, Torre cargas úteis são empacotadas usando UPX ou outros meios criptográficos.
Quando lançado, o ransomware tenta encerrar quaisquer processos relacionados a mecanismos de segurança ou outras coisas que também podem interromper a criptografia.
O relatório também observa que Rook usa vssadmin.exe para remover cópias de sombra.
Até aqui, pesquisadores não encontraram nenhum mecanismo de fixação no sistema, então Rook criptografa arquivos adicionando a extensão .Rook a eles, e, em seguida, exclui-se da máquina comprometida.
Os pesquisadores escreveram que notaram inúmeras semelhanças de código entre Rook e Babuk, cujo código-fonte foi publicado em um fórum de língua russa no outono de 2021. Por exemplo, Rook usa as mesmas chamadas de API para obter o nome e o status de cada serviço em execução, e as mesmas funções para matá-los. além do que, além do mais, a lista de processos e serviços eliminados do Windows é a mesma para ransomware (Incluindo: Vapor, Microsoft Cliente de e-mail do Office e Outlook, assim como Mozilla Firefox e Thunderbird). Como um resultado, Sentinela Um especialistas concluem que Rook é baseado no código-fonte do Babuk.
Deixe-me lembrá-lo de que escrevemos isso Show ransomware ataca servidores Minecraft, bem como isso Pesquisadores descobriram ALPHV ransomware escrito em Rust.