27/12/21
Исследователи ИБ-компании SentinelLabs выявили новое семейство вымогательского ПО под названием Rook ("Ладья" – англ.). Хотя приветственное сообщение на сайте утечек Rook носит шуточный характер, первая указанная жертва свидетельствует о том, что вымогатели настроены серьезно.
По словам исследователей, полезная нагрузка Rook доставляется на атакуемую систему через Cobalt Strike, который в свою очередь попадает на устройство с помощью фишинговых писем или загрузки torrent-файлов.
С целью обхода обнаружения решениями безопасности полезная нагрузка упакована с помощью UPX или другого криптора. После выполнения вредонос предпринимает попытки завершить процессы, связанные с инструментами безопасности или с чем-либо, что может помешать шифрованию файлов.
С помощью vssadmin.exe Rook удаляет теневые копии томов – стандартная практика кибервымогателей, чтобы жертва не могла восстановить свои файлы без уплаты выкупа.
Специалисты не обнаружили никакого механизма персистентности, то есть, после шифрования файлов Rook добавляет к ним расширение .Rook, а затем удаляется с системы.
Исследователи SentinelLabs обнаружили в коде Rook много общего с кодом Babuk – более нефункционирующего RaaS (Ransomware as a Service – вымогательское ПО как услуга), чей весь исходный код утек на подпольные форумы в сентябре 2021 года. К примеру, Rook использует те же вызовы API для получения имени и статуса каждой запущенной службы и те же функции для их отключения. Список отключаемых процессов и служб Windows у обоих вымогателей одинаковый.
В настоящее время на сайте утечек Rook указаны только две жертвы, добавленные в текущем месяце, – банк и индийский специалист в области авиации и аэрокосмической техники. Если к партнерской программе Rook примкнут опытные киберпреступники, она может стать серьезной угрозой в будущем.
