Sugar Ransomware

Sugar Ransomware е мощна заплаха за злонамерен софтуер, която се предлага в схема за рансъмуер като услуга (RaaS). За разлика от повечето известни щамове на рансъмуер, Sugar изглежда е насочен към заразяване на отделни потребители, вместо към корпоративни цели. Друга отличителна характеристика на заплахата е честото заемане на заем от други групи за рансъмуер. Подробности за заплахата бяха публикувани в доклад, публикуван от екипа за киберзаплахи в Walmart.

Според констатациите на изследователи на infosec, Sugar Ransomware е написан с помощта на езика за програмиране Delphi. Въпреки това, в своя код той използва различни обекти, взети от други семейства рансъмуер. Частта за криптиране на файлове на заплахата има поразително сходство с алгоритъма за криптиране SCOP от GPLib, интерфейсна библиотека, съдържаща процедури и функции, занимаващи се с криптиране и декриптиране.

Бележката за откуп, доставена на системите, заразени със Sugar Ransomware, изглежда е до голяма степен идентична с изискващите откуп съобщения на заплахите за mware REvil Rans с добавяне на незначителни отличия и различни правописни грешки. Що се отнася до специалната страница за дешифриране на заплахата, тя изглежда щедро заема от уебсайта на заплахата Cl0p.

Най-интересната функция, която беше разкрита по време на анализа на Sugar Ransomware, е неговият криптор. Той използва модифицирано RC4 криптиране, но по-важното е, че части от кода му могат да бъдат намерени повторно използвани в рутината за декодиране на низове на самата заплаха за рансъмуер. Това доведе изследователите до заключението, че създателите на заплахата и криптора може да са една и съща група киберпрестъпници. Крипторът също може потенциално да бъде част от услуга, която основният заплаха предлага на своите филиали.