AppsecZone

Новый шифровальщик Rook основан на исходном коде Babuk

Новый шифровальщик Rook основан на исходном коде Babuk Новый шифровальщик Rook основан на исходном коде Babuk Новый шифровальщик Rook основан на исходном коде Babuk
28.12.2021

Эксперты Sentinel One обнаружили шифровальщика Rook, который, судя по всему, основан на давно утекшем исходном коде вымогателя Babuk, пишет Хакер.

Полезная нагрузка малвари обычно доставляется посредством Cobalt Strike, при этом в качестве первоначального вектора заражения используются фишинговые письма и пиратские торренты. Для большей скрытности пейлоады Rook упакованы с использованием UPX или других криптографических средств.

При запуске вымогатель пытается завершить любые процессы, связанные с механизмами безопасности или другими вещами, которые тоже могут прервать шифрование.

«Интересно, что в некоторых случаях драйвер kph.sys  от Process Hacker вступает в игру при завершении процессов, но в других нет. Похоже это связано с потребностью злоумышленников использовать драйвер для отключения некоторых локальных решений безопасности при определенных действиях», — говорят эксперты.

Также в отчете отмечается, что Rook использует vssadmin.exe для удаления теневых копий.

Пока исследователи не обнаружили никаких механизмов закрепления в системе, поэтому Rook шифрует файлы, добавляя к ним расширение .Rook, а затем удаляет себя со скомпрометированной машины.

Исследователи пишут, что заметили многочисленные сходства кода между Rook и Babuk, чей исходный код был опубликован на русскоязычном форуме осенью 2021 года. К примеру, Rook использует те же вызовы API для получения имени и статуса каждой запущенной службы и те же функции для их ликвидации. Кроме того, список ликвидируемых процессов и служб Windows одинаков для обоих вымогателей (в их числе: Steam, почтовый клиент Microsoft Office и Outlook, а также Mozilla Firefox и Thunderbird). В итоге эксперты Sentinel One делают вывод, что Rook основан на исходном коде Babuk.

На «сайте утечек» Rook уже размещены данные двух жертв: некоего банка и индийской компании, работающей в авиационной и аэрокосмической области. Информация обеих жертв была добавлена в этом месяце, то есть, похоже, что группировка только начинает свою деятельность.


Комментарии 0


Назад