На кибервымогательскую арену вышел новый игрок – Rook

Пн 27 Декабрь 2021 05:21

Исследователи ИБ-компании SentinelLabs выявили новое семейство вымогательского ПО под названием Rook ("Ладья" – англ.). Хотя приветственное сообщение на сайте утечек Rook носит шуточный характер, первая указанная жертва свидетельствует о том, что вымогатели настроены серьезно.

По словам исследователей, полезная нагрузка Rook доставляется на атакуемую систему через Cobalt Strike, который в свою очередь попадает на устройство с помощью фишинговых писем или загрузки torrent-файлов.

С целью обхода обнаружения решениями безопасности полезная нагрузка упакована с помощью UPX или другого криптора. После выполнения вредонос предпринимает попытки завершить процессы, связанные с инструментами безопасности или с чем-либо, что может помешать шифрованию файлов.

С помощью vssadmin.exe Rook удаляет теневые копии томов – стандартная практика кибервымогателей, чтобы жертва не могла восстановить свои файлы без уплаты выкупа.

Специалисты не обнаружили никакого механизма персистентности, то есть, после шифрования файлов Rook добавляет к ним расширение .Rook, а затем удаляется с системы.

Исследователи SentinelLabs обнаружили в коде Rook много общего с кодом Babuk – более нефункционирующего RaaS (Ransomware as a Service – вымогательское ПО как услуга), чей весь исходный код утек на подпольные форумы в сентябре 2021 года. К примеру, Rook использует те же вызовы API для получения имени и статуса каждой запущенной службы и те же функции для их отключения. Список отключаемых процессов и служб Windows у обоих вымогателей одинаковый.

В настоящее время на сайте утечек Rook указаны только две жертвы, добавленные в текущем месяце, – банк и индийский специалист в области авиации и аэрокосмической техники. Если к партнерской программе Rook примкнут опытные киберпреступники, она может стать серьезной угрозой в будущем.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 301 день 4 часа 29 минут 45 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.