Son zamanlarda siber suç alanında Rook adlı yeni bir fidye yazılımı operasyonu ortaya çıktı ve kurumsal ağları ihlal ederek ve cihazları şifreleyerek “çok para” kazanmaya yönelik umutsuz bir ihtiyaç olduğunu ilan etti.
Veri sızıntısı portallarındaki tanıtım ifadeleri marjinal olarak komik olsa da, sitedeki ilk kurban duyuruları Rook’un oyun oynamadığını açıkça ortaya koydu.
SentinelLabs’taki araştırmacılar, teknik ayrıntılarını, enfeksiyon zincirini ve Babuk fidye yazılımıyla nasıl örtüştüğünü ortaya koyarak yeni türü derinlemesine incelediler.
Enfeksiyon süreci
Rook fidye yazılımı yükü, genellikle ilk enfeksiyon vektörü olarak kimlik avı e-postaları ve gölgeli torrent indirmeleriyle birlikte Cobalt Strike aracılığıyla teslim edilir.
Yükler, algılamadan kaçınmaya yardımcı olmak için UPX veya diğer şifreleyicilerle paketlenir. Fidye yazılımı yürütüldüğünde, güvenlik araçlarıyla veya şifrelemeyi kesintiye uğratabilecek herhangi bir şeyle ilgili işlemleri sonlandırmaya çalışır.
Kaynak: SentinelLabs
“İlginç bir şekilde, görüyoruz ki kph.sys Process Hacker’dan gelen sürücü, bazı durumlarda süreç sonlandırmada devreye girer, ancak diğerlerinde değil,” diye açıklıyor SentinelLabs onun raporu.
“Bu muhtemelen, saldırganın belirli etkileşimlerde belirli yerel güvenlik çözümlerini devre dışı bırakmak için sürücüden yararlanma ihtiyacını yansıtıyor.”
Kaynak: SentinelLabs
Rook ayrıca birim gölge kopyalarını silmek için vssadmin.exe’yi kullanır. dosyaları kurtarmak için kullanılır.
Analistler hiçbir kalıcılık mekanizması bulamadılar, bu nedenle Rook dosyaları şifreleyecek, “.Kale” uzantısını ve ardından kendini tehlikeye atılan sistemden siler.
Kaynak: SentinelLabs
Babük’e dayalı
SentinelLabs, Rook ve Babuk arasında çok sayıda kod benzerliği buldu. kaynak kodu sızdırıldı Eylül 2021’de Rusça konuşulan bir forumda.
Örneğin, Rook, çalışan her hizmetin adını ve durumunu almak için aynı API çağrılarını ve bunları sonlandırmak için aynı işlevleri kullanır.
Ayrıca, durdurulan işlemlerin ve Windows hizmetlerinin listesi her iki fidye yazılımı için aynıdır.
Buna Steam oyun platformu, Microsoft Office ve Outlook e-posta istemcisi ve Mozilla Firefox ve Thunderbird dahildir.
Diğer benzerlikler, şifreleyicinin gölge birim kopyalarını nasıl sildiğini, Windows Yeniden Başlatma Yöneticisi API’sini nasıl kullandığını ve yerel sürücüleri nasıl numaralandırdığını içerir.
Kaynak: SentinelLabs
Bu kod benzerlikleri nedeniyle, Sentinel One, Rook’un Babuk Ransomware operasyonu için sızdırılmış kaynak koduna dayandığına inanıyor.
Rook ciddi bir tehdit mi?
Rook’un saldırılarının ne kadar karmaşık olduğunu söylemek için çok erken olsa da, bir enfeksiyonun sonuçları hala ciddi ve şifrelenmiş ve çalınmış verilere yol açıyor.
Rook veri sızıntısı sitesinde şu anda iki kurban, bir banka ve bir Hintli havacılık ve uzay uzmanı bulunuyor.
Her ikisi de bu ay eklendi, bu nedenle grubun faaliyetlerinde erken bir aşamadayız.
Yetenekli üyeler yeni RaaS’a katılırsa, Rook gelecekte önemli bir tehdit haline gelebilir.