Эксперты Sentinel One обнаружили шифровальщика Rook, который, судя по всему, основан на давно утекшем исходном коде вымогателя Babuk.

Полезная нагрузка малвари обычно доставляется посредством Cobalt Strike, при этом в качестве первоначального вектора заражения используются фишинговые письма и пиратские торренты. Для большей скрытности пейлоады Rook упакованы с использованием UPX или других криптографических средств.

При запуске вымогатель пытается завершить любые процессы, связанные с механизмами безопасности или другими вещами, которые тоже могут прервать шифрование.

«Интересно, что в некоторых случаях драйвер kph.sys  от Process Hacker вступает в игру при завершении процессов, но в других нет. Похоже это связано с потребностью злоумышленников использовать драйвер для отключения некоторых локальных решений безопасности при определенных действиях», — говорят эксперты.

Также в отчете отмечается, что Rook использует vssadmin.exe для удаления теневых копий.

Пока исследователи не обнаружили никаких механизмов закрепления в системе, поэтому Rook шифрует файлы, добавляя к ним расширение .Rook, а затем удаляет себя со скомпрометированной машины.

Исследователи пишут, что заметили многочисленные сходства кода между Rook и Babuk, чей исходный код был опубликован на русскоязычном форуме осенью 2021 года. К примеру, Rook использует те же вызовы API для получения имени и статуса каждой запущенной службы и те же функции для их ликвидации. Кроме того, список ликвидируемых процессов и служб Windows одинаков для обоих вымогателей (в их числе: Steam, почтовый клиент Microsoft Office и Outlook, а также Mozilla Firefox и Thunderbird). В итоге эксперты Sentinel One делают вывод, что Rook основан на исходном коде Babuk.

На «сайте утечек» Rook уже размещены данные двух жертв: некоего банка и индийской компании, работающей в авиационной и аэрокосмической области. Информация обеих жертв была добавлена в этом месяце, то есть, похоже, что группировка только начинает свою деятельность.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии