Ransomware mới của Rook dựa trên mã nguồn Babuk

Helga SmithTháng 1 4, 2022Cập nhật mới nhất: Tháng 1 5, 2022
1 phút đọc

Chuyên gia Sentinel One đã phát hiện ra một Rook ransomware mới, dường như dựa trên mã nguồn bị rò rỉ từ lâu của phần mềm ransomware Babuk.

Tải trọng phần mềm độc hại thường được phân phối qua tấn công coban, sử dụng email lừa đảo và torrent lậu làm phương tiện lây nhiễm ban đầu. Để tàng hình hơn, Xe tải trọng được đóng gói bằng UPX hoặc các phương tiện mật mã khác.

Khi ra mắt, phần mềm ransomware cố gắng chấm dứt mọi quy trình liên quan đến cơ chế bảo mật hoặc những thứ khác có thể làm gián đoạn quá trình mã hóa.

Thật thú vị, trong một số trường hợp, trình điều khiển kph.sys của Process Hacker hoạt động khi các tiến trình đang tắt, nhưng ở những người khác thì không. Điều này dường như là do kẻ tấn công cần sử dụng trình điều khiển để vô hiệu hóa một số giải pháp bảo mật cục bộ cho một số hành động nhất định.chuyên gia nói.

Báo cáo cũng lưu ý rằng Rook sử dụng vssadmin.exe để loại bỏ các bản sao ẩn.

Cho đến nay, các nhà nghiên cứu chưa tìm thấy cơ chế ghim nào trên hệ thống, vì vậy Rook mã hóa các tệp bằng cách thêm phần mở rộng .Rook vào chúng, và sau đó xóa chính nó khỏi máy bị xâm nhập.

Các nhà nghiên cứu viết rằng họ nhận thấy nhiều điểm tương đồng về mã giữa Rook và bụi, mã nguồn của nó đã được xuất bản trên một diễn đàn tiếng Nga vào mùa thu năm 2021. Ví dụ, Rook sử dụng các lệnh gọi API giống nhau để lấy tên và trạng thái của từng dịch vụ đang chạy, và các chức năng tương tự để tiêu diệt chúng. Ngoài ra, danh sách các quy trình và dịch vụ Windows bị loại bỏ giống nhau đối với cả hai phần mềm ransomware (bao gồm: Hơi nước, Microsoft Ứng dụng email Office và Outlook, cũng như Mozilla Firefox và Thunderbird). Kết quả là, Lính canh một các chuyên gia kết luận rằng Rook dựa trên mã nguồn Babuk.

quân xe “nơi rò rỉ” đã đăng dữ liệu của hai nạn nhân: một ngân hàng và một công ty Ấn Độ làm việc trong ngành hàng không và vũ trụ. Thông tin từ cả hai nạn nhân đã được thêm vào trong tháng này, điều đó có nghĩa là có vẻ như nhóm chỉ mới bắt đầu.

Hãy để tôi nhắc bạn rằng chúng tôi đã viết rằng khonsari ransomware tấn công máy chủ Minecraft, cũng như thế Các nhà nghiên cứu phát hiện ra ALPHV phần mềm tống tiền được viết bằng Rust.

thẻ
Helga SmithTháng 1 4, 2022Cập nhật mới nhất: Tháng 1 5, 2022
1 phút đọc

Helga Smith

Tôi luôn quan tâm đến khoa học máy tính, đặc biệt là bảo mật dữ liệu và chủ đề, được gọi là ngày nay "khoa học dữ liệu", kể từ khi tôi còn ở tuổi thiếu niên. Trước khi vào nhóm Diệt Virus với vai trò Tổng biên tập, Tôi đã làm việc với tư cách là chuyên gia an ninh mạng tại một số công ty, bao gồm một trong những nhà thầu của Amazon. Một trải nghiệm khác: Tôi đã nhận được đang giảng dạy tại các trường đại học Arden và Reading.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Trang web này sử dụng akismet để giảm spam. Tìm hiểu cách xử lý dữ liệu bình luận của bạn.

Nút quay lại đầu trang