Μια νέα απειλή με το όνομα Sugar Ransomware έχει βρεθεί να στοχεύει υπολογιστές απλών χρηστών, αντί για εταιρικά δίκτυα, και να ζητά μικρά χρηματικά ποσά για λύτρα.
Το “Sugar” που ανακαλύφθηκε για πρώτη φορά από τη Walmart Security Team, είναι μια νέα λειτουργία Ransomware-as-a-Service (RaaS) που ξεκίνησε τον Νοέμβριο του 2021, αλλά με το χρόνο γίνεται πιο δραστήρια.
Το όνομα του ransomware βασίζεται σε ένα site που ανακαλύφθηκε από τη Walmart και σχετίζεται με το ransomware: ‘sugarpanel[.]space’.
Δείτε επίσης: Η ευπάθεια zero-day της Zimbra επιτρέπει την κλοπή email
Σε αντίθεση με τα περισσότερα ransomware, το Sugar δεν φαίνεται να στοχεύει εταιρικά δίκτυα αλλά μάλλον μεμονωμένες συσκευές, που πιθανότατα ανήκουν σε απλούς χρήστες ή μικρές επιχειρήσεις.
Προς το παρόν, δεν είναι σαφές πώς διανέμεται το ransomware ή πώς μολύνει τα θύματα.
Sugar Ransomware: Τι ξέρουμε;
Αρχικά, το Sugar Ransomware θα συνδεθεί με το whatismyipaddress.com και το ip2location.com για να λάβει τη διεύθυνση IP και την τοποθεσία της συσκευής. Στη συνέχεια, θα προχωρήσει στη λήψη ενός αρχείου 76 MB από το http://cdn2546713.cdnmegafiles[.]com/data23072021_1.dat. Ωστόσο, προς το παρόν, οι ερευνητές δεν έχουν ανακαλύψει πώς ακριβώς χρησιμοποιείται αυτό το αρχείο.
Τέλος, θα συνδεθεί στον command and control server της επιχείρησης ransomware στο 179.43.160.195, όπου γίνεται μετάδοση και λήψη δεδομένων που σχετίζονται με την επίθεση. Το ransomware θα συνεχίσει να επικοινωνεί με τον command and control server καθώς εκτελείται, πιθανότατα ενημερώνοντας το RaaS με την κατάσταση της επίθεσης.
Σύμφωνα με τους ερευνητές, το Sugar ransomware κρυπτογραφεί κάθε αρχείο εκτός από αυτά που αναφέρονται στους ακόλουθους φακέλους ή έχουν τα ακόλουθα ονόματα αρχείων:
Excluded folders:
\windows\
\DRIVERS\
\PerfLogs\
\temp\
\boot\
Excluded files:
BOOTNXT
bootmgr
pagefile
.exe
.dll
.sys
.lnk
.bat
.cmd
.ttf
.manifest
.ttc
.cat
.msi;Λέγεται ότι το ransomware κρυπτογραφεί αρχεία χρησιμοποιώντας τον αλγόριθμο κρυπτογράφησης SCOP. Μετά την κρυπτογράφηση, τα αρχεία θα αποκτήσουν την επέκταση .encoded01. Επιπλέον, το ransomware θα δημιουργήσει σημειώματα λύτρων με το όνομα BackFiles_encoded01.txt σε κάθε φάκελο που σαρώθηκε για αρχεία.
Δείτε επίσης: Η CISA προειδοποιεί για κρίσιμες ευπάθειες στην Airspan Networks Mimosa
Όπως περιμένει κανείς, το σημείωμα λύτρων περιέχει πληροφορίες για το τι συνέβη στα αρχεία του θύματος, ένα μοναδικό ID και έναν σύνδεσμο προς έναν ιστότοπο Tor με πληροφορίες σχετικά με τον τρόπο πληρωμής των λύτρων. Το Tor site βρίσκεται στη διεύθυνση chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onion. Αν επισκεφτεί κάποιος (θύμα) το site, θα δει τη δική του σελίδα με τη διεύθυνση bitcoin στην οποία πρέπει να σταλούν τα λύτρα. Υπάρχει, επίσης, μια ενότητα συνομιλίας με τους επιτιθέμενους (chat), ενώ παρέχεται και η δυνατότητα αποκρυπτογράφησης πέντε αρχείων δωρεάν.
Όπως είπαμε και παραπάνω, οι χειριστές του Sugar ransomware ζητούν μικρά χρηματικά ποσά από τα θύματα για την παροχή του κλειδιού αποκρυπτογράφησης. Μάλιστα, το ποσό που ζητούν οι επιτιθέμενοι ενδέχεται να εξαρτάται και από τον αριθμό των αρχείων που κρυπτογραφούν.
Δείτε επίσης: Η News Corp αποκαλύπτει ότι ήταν στόχος μια επίμονης κυβερνοεπίθεσης
Σε αντίθεση με τις περισσότερες μολύνσεις ransomware, το εκτελέσιμο malware εκτελείται ακόμη και μετά την ολοκλήρωση της κρυπτογράφησης. Ωστόσο, δεν φαίνεται να συνεχίζει την κρυπτογράφηση νέων εγγράφων.
Πηγή: Bleeping Computer