Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

На кибервымогательскую арену вышел новый игрок – Rook

27/12/21

rookИсследователи ИБ-компании SentinelLabs выявили новое семейство вымогательского ПО под названием Rook ("Ладья" – англ.). Хотя приветственное сообщение на сайте утечек Rook носит шуточный характер, первая указанная жертва свидетельствует о том, что вымогатели настроены серьезно.

По словам исследователей, полезная нагрузка Rook доставляется на атакуемую систему через Cobalt Strike, который в свою очередь попадает на устройство с помощью фишинговых писем или загрузки torrent-файлов.

С целью обхода обнаружения решениями безопасности полезная нагрузка упакована с помощью UPX или другого криптора. После выполнения вредонос предпринимает попытки завершить процессы, связанные с инструментами безопасности или с чем-либо, что может помешать шифрованию файлов.

С помощью vssadmin.exe Rook удаляет теневые копии томов – стандартная практика кибервымогателей, чтобы жертва не могла восстановить свои файлы без уплаты выкупа.

Специалисты не обнаружили никакого механизма персистентности, то есть, после шифрования файлов Rook добавляет к ним расширение .Rook, а затем удаляется с системы.

Исследователи SentinelLabs обнаружили в коде Rook много общего с кодом Babuk – более нефункционирующего RaaS (Ransomware as a Service – вымогательское ПО как услуга), чей весь исходный код утек на подпольные форумы в сентябре 2021 года. К примеру, Rook использует те же вызовы API для получения имени и статуса каждой запущенной службы и те же функции для их отключения. Список отключаемых процессов и служб Windows у обоих вымогателей одинаковый.

В настоящее время на сайте утечек Rook указаны только две жертвы, добавленные в текущем месяце, – банк и индийский специалист в области авиации и аэрокосмической техники. Если к партнерской программе Rook примкнут опытные киберпреступники, она может стать серьезной угрозой в будущем.

Темы:УгрозыВымогателиSentinel Labs
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...