В сфере киберпреступности недавно появилась новая операция по вымогательству под названием Rook, которая объявила об отчаянной необходимости заработать «много денег», взламывая корпоративные сети и устройства шифрования.
Хотя вступительные заявления на их портале утечки данных были немного забавными, первые объявления жертв на сайте дали понять, что Rook не играет в игры.
Исследователи из SentinelLabs глубоко погрузились в новый штамм, раскрывая его технические детали, цепочку заражения и то, как он пересекается с программой-вымогателем Babuk.
Процесс заражения
Полезная нагрузка программы-вымогателя Rook обычно доставляется через Cobalt Strike, при этом в качестве первоначального вектора заражения указываются фишинговые электронные письма и теневые торрент-загрузки.
Полезные данные упакованы UPX или другими криптографическими средствами, чтобы избежать обнаружения. При запуске программа-вымогатель пытается завершить процессы, связанные с инструментами безопасности или чем-либо, что может прервать шифрование.
«Интересно, что kph.sys в некоторых случаях мы видим, что драйвер от Process Hacker вступает в игру при завершении процесса, но не в других», — поясняет SentinelLabs в своем отчете.
«Это, вероятно, отражает потребность злоумышленника использовать драйвер для отключения определенных локальных решений безопасности при определенных действиях».
Rook также использует vssadmin.exe для удаления теневых копий томов — стандартной тактики, используемой операциями вымогателей для предотвращения использования теневых томов для восстановления файлов.
Аналитики не обнаружили механизмов сохранения, поэтому Rook зашифрует файлы, добавит расширение «.Rook», а затем удалит себя из скомпрометированной системы.
По мотивам Бабука
SentinelLabs обнаружила многочисленные сходства кода между Rook и Babuk, несуществующим RaaS, полный исходный код которого просочился на русскоязычный форум в сентябре 2021 года.
Например, Rook использует одни и те же вызовы API для получения имени и статуса каждой запущенной службы и те же функции для их завершения.
Кроме того, список остановленных процессов и служб Windows одинаков для программ-вымогателей.
Сюда входят игровая платформа Steam, почтовый клиент Microsoft Office и Outlook, а также Mozilla Firefox и Thunderbird.
Другие сходства включают в себя то, как шифровальщик удаляет теневые копии томов, использует Windows Restart Manager API и перечисляет локальные диски.
Из-за такого сходства кода Sentinel One считает, что Rook основан на утечке исходного кода операции Babuk Ransomware.
Ладья — серьезная угроза?
Хотя еще слишком рано говорить о том, насколько изощрены атаки Rook, последствия заражения по-прежнему серьезны и приводят к зашифрованным и украденным данным.
На сайте утечки данных Rook в настоящее время находятся две жертвы: банк и индийский авиационный и аэрокосмический специалист.
Оба были добавлены в этом месяце, так что мы находимся на ранней стадии деятельности группы.
Если к новому RaaS присоединятся опытные партнеры, Rook может стать серьезной угрозой в будущем.
Последнее обновление 05.01.2023
