Rooks nya ransomware är baserad på Babuk källkod

Helga Smithjanuari 4, 2022Senast uppdaterad: januari 5, 2022
52 1 läst minut

Sentinel One-experter har upptäckt en ny ransomware Rook, som verkar vara baserad på den länge läckta källkoden för Babuk ransomware.

Den skadliga nyttolasten levereras vanligtvis via Koboltstrejk, använder nätfiske-e-postmeddelanden och piratkopierade torrents som den första infektionsvektorn. För mer smyg, Råka nyttolaster paketeras med UPX eller andra kryptografiska metoder.

När den lanseras, ransomwaren försöker avsluta alla processer relaterade till säkerhetsmekanismer eller andra saker som också kan avbryta kryptering.

Intressant, i vissa fall kommer processhackarens kph.sys-drivrutin in i bilden när processer stängs av, men i andra gör det inte det. Detta verkar bero på att angripare behöver använda en drivrutin för att inaktivera vissa lokala säkerhetslösningar för vissa åtgärder.säger experter.

Rapporten noterar också att Rook använder vssadmin.exe för att ta bort skuggkopior.

Än så länge, forskare har inte hittat några fästmekanismer på systemet, så Rook krypterar filer genom att lägga till tillägget .Rook till dem, och tar sedan bort sig själv från den komprometterade maskinen.

Forskarna skriver att de märkte många kodlikheter mellan Rook och Babuk, vars källkod publicerades på ett ryskspråkigt forum hösten 2021. Till exempel, Rook använder samma API-anrop för att få namn och status för varje tjänst som körs, och samma funktioner för att döda dem. För övrigt, listan över eliminerade Windows-processer och tjänster är densamma för båda ransomware (Inklusive: Ånga, Microsoft Office och Outlook e-postklient, såväl som Mozilla Firefox och Thunderbird). Som ett resultat, Sentinel One experter drar slutsatsen att Rook är baserad på Babuk-källkoden.

Tornet “plats för läckor” har redan lagt ut uppgifter om två offer: en bank och ett indiskt företag som arbetar inom flyg- och flygindustrin. Information från båda offren lades till denna månad, vilket betyder att det ser ut som att gruppen precis har börjat.

Låt mig påminna dig om att vi skrev det Konsert ransomware attackerar Minecraft-servrar, liksom det Forskare upptäckte ALPHV ransomware skriven i Rust.

Taggar
Helga Smithjanuari 4, 2022Senast uppdaterad: januari 5, 2022
52 1 läst minut

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen