Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

На кибервымогательскую арену вышел новый игрок – Rook

27/12/21

rookИсследователи ИБ-компании SentinelLabs выявили новое семейство вымогательского ПО под названием Rook ("Ладья" – англ.). Хотя приветственное сообщение на сайте утечек Rook носит шуточный характер, первая указанная жертва свидетельствует о том, что вымогатели настроены серьезно.

По словам исследователей, полезная нагрузка Rook доставляется на атакуемую систему через Cobalt Strike, который в свою очередь попадает на устройство с помощью фишинговых писем или загрузки torrent-файлов.

С целью обхода обнаружения решениями безопасности полезная нагрузка упакована с помощью UPX или другого криптора. После выполнения вредонос предпринимает попытки завершить процессы, связанные с инструментами безопасности или с чем-либо, что может помешать шифрованию файлов.

С помощью vssadmin.exe Rook удаляет теневые копии томов – стандартная практика кибервымогателей, чтобы жертва не могла восстановить свои файлы без уплаты выкупа.

Специалисты не обнаружили никакого механизма персистентности, то есть, после шифрования файлов Rook добавляет к ним расширение .Rook, а затем удаляется с системы.

Исследователи SentinelLabs обнаружили в коде Rook много общего с кодом Babuk – более нефункционирующего RaaS (Ransomware as a Service – вымогательское ПО как услуга), чей весь исходный код утек на подпольные форумы в сентябре 2021 года. К примеру, Rook использует те же вызовы API для получения имени и статуса каждой запущенной службы и те же функции для их отключения. Список отключаемых процессов и служб Windows у обоих вымогателей одинаковый.

В настоящее время на сайте утечек Rook указаны только две жертвы, добавленные в текущем месяце, – банк и индийский специалист в области авиации и аэрокосмической техники. Если к партнерской программе Rook примкнут опытные киберпреступники, она может стать серьезной угрозой в будущем.

Темы:УгрозыВымогателиSentinel Labs
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...