Взгляд на новую программу-вымогатель Sugar, требующую низких выкупов

Хакеры используют критическую ошибку VMware CVE-2022-22954, исправьте ее сейчас

Новая операция Sugar Ransomware активно нацелена на отдельные компьютеры, а не на корпоративные сети, с низкими требованиями выкупа.

Sugar, впервые обнаруженный командой безопасности Walmart, представляет собой новую операцию Ransomware-as-a-Service (RaaS), которая была запущена в ноябре 2021 года, но постепенно набирает обороты.

Название программы-вымогателя основано на аффилированном сайте операции, обнаруженном Walmart по адресу «sugarpanel[.]space».

В отличие от большинства программ-вымогателей, о которых вы читали в новостях, Sugar, по-видимому, нацелен не на корпоративные сети, а на отдельные устройства, которые, вероятно, принадлежат потребителям или малому бизнесу.

Таким образом, неясно, как программа-вымогатель распространяется или заражает жертв.

Сахарный вымогатель

При запуске Sugar Ransomware подключится к whatismyipaddress.com и ip2location.com, чтобы получить IP-адрес и географическое местоположение устройства.

Затем он продолжит загрузку файла размером 76 МБ с http://cdn2546713.cdnmegafiles[.]com/data23072021_1.dat, но неясно, как этот файл используется.

Наконец, он подключится к командному серверу программы-вымогателя по адресу 179.43.160.195, откуда будет передавать и получать данные, связанные с атакой. Программа-вымогатель будет продолжать обращаться к командному серверу по мере выполнения, вероятно, обновляя RaaS статусом атаки.

При шифровании файлов программа-вымогатель шифрует все файлы, кроме тех, которые перечислены в следующих папках или имеют следующие имена файлов:

Excluded folders:

\windows\
\DRIVERS\
\PerfLogs\
\temp\
\boot\

Excluded files:

BOOTNXT
bootmgr
pagefile
.exe
.dll
.sys
.lnk
.bat
.cmd
.ttf
.manifest
.ttc
.cat
.msi;

Исследователи Walmart говорят, что программа-вымогатель шифрует файлы с помощью алгоритма шифрования SCOP. Зашифрованные файлы будут иметь  расширение .encoded01, добавленное к именам файлов.

Программа-вымогатель также будет создавать заметки о выкупе с именем  BackFiles_encoded01.txt в каждой папке, которая была проверена на наличие файлов на компьютере.

Эта записка о выкупе содержит информацию о том, что случилось с файлами жертвы, уникальный идентификатор и ссылку на сайт Tor с информацией о том, как заплатить выкуп. Сайт Tor находится по адресу chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onion.

При посещении сайта Tor жертве будет представлена ​​его собственная страница, содержащая биткойн-адрес для отправки выкупа, раздел чата и возможность бесплатно расшифровать пять файлов.

Требование выкупа для этой операции очень низкое: атаки, замеченные BleepingComputer, требуют всего несколько сотен долларов для получения ключа. Как ни странно, в нашем тестовом блоке итоговое требование выкупа составило всего 0,00009921 биткойнов на сумму 4,01 доллара.

Поскольку BleepingComputer протестировал программу-вымогатель на виртуальной машине с небольшим количеством файлов, это может указывать на то, что программа-вымогатель генерирует суммы выкупа на основе количества зашифрованных файлов.

В отличие от большинства заражений программами-вымогателями, исполняемый файл вредоносного ПО запускается даже после завершения шифрования. Однако настройки автоматического запуска не создаются и, похоже, не продолжают шифровать новые документы.

В настоящее время неясно, есть ли у программы-вымогателя какие-либо слабые места, которые могут позволить расшифровку бесплатно. Мы будем обновлять эту статью по мере поступления дополнительной информации.

Кроме того, если вы пострадали от этой программы-вымогателя, сообщите нам, как вы заразились.

Последнее обновление 04.02.2022