رانسومواري السكر

يعد Sugar Ransomware تهديدًا قويًا للبرامج الضارة يتم تقديمه في نظام Ransomware-as-a-service (RaaS). على عكس سلالات برامج الفدية الأكثر بروزًا ، يبدو أن Sugar موجه نحو إصابة المستخدمين الفرديين ، بدلاً من استهداف الشركات. السمة المميزة الأخرى للتهديد هي الاقتراض المتكرر من مجموعات برامج الفدية الأخرى. تم نشر تفاصيل حول التهديد في تقرير نشره فريق التهديد السيبراني في وول مارت.

وفقًا لنتائج باحثي إنفوسيك ، فإن Sugar Ransomware مكتوب باستخدام لغة برمجة دلفي. ومع ذلك ، في التعليمات البرمجية الخاصة به ، فإنه يستخدم كائنات مختلفة مأخوذة من عائلات برامج الفدية الأخرى. تحمل قطعة تشفير ملف التهديد تشابهًا مذهلاً مع خوارزمية تشفير SCOP من GPLib ، وهي مكتبة مترابطة تحتوي على إجراءات ووظائف تتعامل مع التشفير وفك التشفير.

يبدو أن مذكرة الفدية التي تم تسليمها للأنظمة المصابة ببرنامج Sugar Ransomware متطابقة في الغالب مع رسائل المطالبة بالفدية الخاصة بتهديدات البرامج الضارة من REvil Rans مع إضافة بعض الفروق الطفيفة والعديد من الأخطاء الإملائية. بالنسبة لصفحة فك التشفير المخصصة للتهديد ، يبدو أنها تقترض بسخاء من موقع تهديد Cl0p.

الميزة الأكثر إثارة للاهتمام التي تم الكشف عنها أثناء تحليل Sugar Ransomware هو التشفير الخاص بها. يستخدم تشفير RC4 المعدل ، ولكن الأهم من ذلك ، يمكن العثور على أجزاء من التعليمات البرمجية الخاصة به معاد استخدامها في روتين فك تشفير سلسلة تهديد الفدية نفسها. أدى ذلك بالباحثين إلى استنتاج مفاده أن منشئي التهديد والمشفّر قد يكونون نفس مجموعة مجرمي الإنترنت. قد يكون المشفر أيضًا جزءًا من خدمة يقدمها الفاعل الرئيسي للتهديد للشركات التابعة له.