Rook'un yeni fidye yazılımı Babuk kaynak koduna dayanıyor

Sentinel One uzmanları keşfetti yeni bir fidye yazılımı Rook, Babuk fidye yazılımının uzun süredir sızdırılan kaynak koduna dayandığı görülüyor..

Kötü amaçlı yazılım yükü genellikle kobalt grevi, kimlik avı e-postalarını ve korsan torrentleri ilk enfeksiyon vektörü olarak kullanmak. Daha fazla gizlilik için, Kale yükler, UPX veya diğer şifreleme araçları kullanılarak paketlenir.

Başlatıldığında, fidye yazılımı, güvenlik mekanizmalarıyla veya şifrelemeyi de kesintiye uğratabilecek diğer şeylerle ilgili tüm işlemleri sonlandırmaya çalışır..

Rapor ayrıca, Rook'un gölge kopyaları kaldırmak için vssadmin.exe'yi kullandığını belirtiyor..

Şu ana kadar, araştırmacılar sistemde herhangi bir sabitleme mekanizması bulamadılar, böylece Rook, dosyaları .Rook uzantısını ekleyerek şifreler., ve sonra kendini tehlikeye atılmış makineden siler.

Araştırmacılar, Rook ve Rook arasında çok sayıda kod benzerliği fark ettiklerini yazıyorlar. Babük, kaynak kodu sonbaharda Rusça bir forumda yayınlandı. 2021. Örneğin, Rook, çalışan her hizmetin adını ve durumunu almak için aynı API çağrılarını kullanır, ve onları öldürmek için aynı işlevler. Ek olarak, ortadan kaldırılan Windows işlemlerinin ve hizmetlerinin listesi her iki fidye yazılımı için de aynıdır (dahil olmak üzere: Buhar, Microsoft, Office ve Outlook e-posta istemcisi, birlikte Mozilla Firefox ve Thunderbird). Sonuç olarak, Sentinel Bir uzmanlar, Rook'un Babuk kaynak koduna dayandığı sonucuna varıyor.

bunu yazdığımızı hatırlatalım Konser fidye yazılımı Minecraft sunucularına saldırır, bunun kadar iyi Araştırmacılar keşfetti ALPHV Rust ile yazılmış fidye yazılımı.