小売大手のウォルマートのサイバー脅威チームは、Sugarと呼ばれる新しいランサムウェアファミリーを分析しました。これは、サイバー犯罪者がサービスとしてのランサムウェア(RaaS)として利用できます。
シュガーランサムウェアファミリーはDelphiで記述されており、他のランサムウェアファミリーからオブジェクトを借用しています。 最初は2021年XNUMX月に発見されましたが、これまで詳しく説明されていませんでした。
世の中で最も普及しているランサムウェアファミリーとは異なり、 シュガー エンタープライズネットワークではなく、主に個々のコンピューターを対象としていますが、特にRaaSとして提供されているため、危険性は低くなりません。
Walmartによると、Sugarの最も興味深い機能の4つは、そのクリプターです。 RCXNUMX暗号化の修正バージョンを採用しているだけでなく、クリプターからのコードがランサムウェア自体で再利用されています。
そのため、ウォルマートは、Sugarランサムウェアとそのクリプターの両方が同じ開発者の作品であるか、クリプターがサービスの一部としてアフィリエイトに提供されていると考えています。
[読んだ: Rustで最初にコーディングされた洗練されたNoberusランサムウェア]
「マルウェアはDelphiで記述されていますが、興味深い部分[…]は、マルウェアの文字列デコードの一部としてクリプターからの同じルーチンを再利用することでした。これにより、同じ開発者がいて、クリプターはおそらくビルドプロセスの一部か、メインアクターがアフィリエイトに提供するサービスの一部です」とウォルマートの研究者は述べています。
ランサムウェアの分析により、REvilランサムウェアオペレーターが採用した身代金メモとの類似点も明らかになりましたが、相違点やスペルミス、Sugarの復号化ページとCl0pの類似点も明らかになりました。
さらに、ウォルマートのセキュリティ研究者は、暗号化および復号化操作の手順と機能を含むライブラリであるGPLibとの類似点を発見しました。
「分析したサンプルのファイル暗号化部分は、SCOP暗号化アルゴリズムを使用しているようです」と彼らは述べています。
シャットダウンをアナウンスする主要なランサムウェア操作( ブラックマター)または法執行措置の対象となる(悪魔)、新しいRaaSオペレーションには、繁栄し、確立された脅威になるための多くのスペースがあります。
関連する ランサムウェアギャングによって盗まれたOTデータは、サイバーフィジカル攻撃を助長する可能性があります
関連する 「安息日」ランサムウェアオペレーターは重要なインフラストラクチャをターゲットにします
関連する 最近のランサムウェアのトレンドは、サイバー衛生、コラボレーションの必要性を強化しています
Ionut ArghireはSecurityWeekの国際特派員です。
タグ:
