ΑρχικήsecurityRook: Το νέο ransomware που βασίζεται στον κώδικα του Babuk

Rook: Το νέο ransomware που βασίζεται στον κώδικα του Babuk

Μια νέα επιχείρηση ransomware με το όνομα Rook εμφανίστηκε πρόσφατα στο τοπίο των απειλών στον κυβερνοχώρο, δείχνοντας την προσπάθεια των εγκληματιών να αποκτήσουν πολλά χρήματα παραβιάζοντας εταιρικά δίκτυα και κρυπτογραφώντας συσκευές. Λέγεται μάλιστα ότι το Rook έχει πολλά κοινά στοιχεία με το Babuk ransomware.

Rook ransomware Babuk

Η ransomware ομάδα έχει δημιουργήσει και ένα site διαρροής δεδομένων των θυμάτων της και οι πρώτες ανακοινώσεις θυμάτων κατέστησαν σαφές ότι το Rook δεν παίζει παιχνίδια.

Δείτε επίσης: Καμπάνια phishing στοχεύει τους χρήστες του CoinSpot cryptoexchange

Οι ερευνητές στο SentinelLabs έχουν αναλύσει το νέο Rook ransomware και αποκαλύπτουν τεχνικές λεπτομέρειες, την αλυσίδα μόλυνσης και τη σχέση του με το ransomware Babuk.

Rook ransomware: Διαδικασία μόλυνσης

Σύμφωνα με τους ερευνητές, το Rook ransomware payload συνήθως παραδίδεται μέσω του Cobalt Strike, με τα phishing emails και τα torrent downloads να θεωρούνται η αρχική πηγή παραβίασης.

Τα payloads είναι σχεδιασμένα έτσι ώστε να αποφεύγουν την ανίχνευση. Όταν εκτελείται, το ransomware επιχειρεί να τερματίσει διαδικασίες που σχετίζονται με εργαλεία ασφαλείας ή οτιδήποτε θα μπορούσε να διακόψει την κρυπτογράφηση.

Είναι ενδιαφέρον ότι βλέπουμε το kph.sys driver από το Process Hacker να παίζει ρόλο στον τερματισμό διαδικασιών σε ορισμένες περιπτώσεις, αλλά όχι σε άλλες“, εξηγούν οι ερευνητές στην έκθεσή τους.

Δείτε επίσης: Avos Locker ransοmware: Κατάχρηση του Safe Mode για παράκαμψη λύσεων ασφαλείας

Αυτό πιθανότατα αντανακλά την ανάγκη του εισβολέα να αξιοποιήσει το driver για να απενεργοποιήσει ορισμένες λύσεις ασφάλειας σε συγκεκριμένα engagements“.

Το Rook ransomware χρησιμοποιεί επίσης το vssadmin.exe για τη διαγραφή των volume shadow copies. Αυτή είναι μια τακτική που χρησιμοποιούν αρκετά ransomware, ώστε να μην μπορούν οι χρήστες να ανακτήσουν τα αρχεία τους μετά την κρυπτογράφηση.

Οι αναλυτές δεν βρήκαν persistence μηχανισμούς, επομένως το Rook ransomware κρυπτογραφεί τα αρχεία, προσαρτά την επέκταση “.Rook” και στη συνέχεια αυτο-διαγράφεται από το παραβιασμένο σύστημα.

Το νέο ransomware φαίνεται να βασίζεται στον κώδικα του Babuk

Οι ερευνητές του SentinelLabs έχουν βρει πολλές ομοιότητες κώδικα μεταξύ του Rook και του Babuk, ενός ανενεργού πια RaaS, του οποίου ο πλήρης source code διέρρευσε σε ένα ρωσόφωνο φόρουμ πριν μερικούς μήνες.

Για παράδειγμα, το Rook ransomware χρησιμοποιεί τα ίδια API calls για να ανακτήσει το όνομα και το status κάθε υπηρεσίας που εκτελείται και τις ίδιες λειτουργίες για τον τερματισμό τους.

Επίσης, η λίστα των διαδικασιών και των υπηρεσιών των Windows που έχουν διακοπεί, είναι η ίδια και για τα δύο ransomware.

Δείτε επίσης: Έκθεση: Αύξηση επιθέσεων από τη ransοmware ομάδα PYSA, τεχνική διπλού εκβιασμού και νέες τακτικές

Rook ransomware Babuk

Άλλες ομοιότητες περιλαμβάνουν τον τρόπο με τον οποίο το encryptor διαγράφει τα shadow volume copies και τον τρόπο που χρησιμοποιεί το Windows Restart Manager API.

Λόγω αυτών των ομοιοτήτων στον κώδικα, οι ερευνητές πιστεύουν ότι το Rook βασίζεται στον source code που διέρρευσε για το Babuk Ransomware.

Είναι πολύ νωρίς για να καταλάβουν οι ερευνητές πόσο επικίνδυνο μπορεί να είναι το Rook ransomware. Το σίγουρο είναι ότι μια επίθεση καταλήγει σε κρυπτογράφηση συστημάτων και κλοπή δεδομένων. Προς το παρόν, το site διαρροής δεδομένων Rook περιέχει ελάχιστα θύματα.

Πηγή: Bleeping Computer

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS