Cukrový ransomware

Sugar Ransomware je silná malwarová hrozba, která je nabízena ve schématu ransomware-as-a-service (RaaS). Na rozdíl od většiny prominentních ransomwarových kmenů se zdá, že Sugar je zaměřen na infikování jednotlivých uživatelů, nikoli na firemní cíle. Další charakteristickou vlastností hrozby je její časté půjčování od jiných skupin ransomwaru. Podrobnosti o hrozbě byly zveřejněny ve zprávě zveřejněné týmem pro kybernetické hrozby ve Walmartu.

Podle zjištění výzkumníků infosec je Sugar Ransomware napsán pomocí programovacího jazyka Delphi. Ve svém kódu však využívá různé objekty převzaté z jiných rodin ransomwaru. Část pro šifrování souborů hrozby se nápadně podobá šifrovacímu algoritmu SCOP od GPLib, což je knihovna s rozhraním obsahující procedury a funkce zabývající se šifrováním a dešifrováním.

Výkupné doručené systémům infikovaným Sugar Ransomware se zdá být většinou totožné se zprávami požadujícími výkupné u hrozeb REvil Rans o mware s přidáním drobných rozdílů a různých překlepů. Pokud jde o dešifrovací stránku hrozby, zdá se, že si štědře půjčuje z webových stránek hrozby Cl0p.

Nejzajímavější funkcí, která byla odhalena během analýzy Sugar Ransomware, je jeho kryptor. Používá upravené šifrování RC4, ale co je důležitější, části jeho kódu lze nalézt znovu použité v rutině dekódování řetězců samotné hrozby ransomwaru. To vedlo vědce k závěru, že tvůrci hrozby a kryptoru mohou být stejnou skupinou kyberzločinců. Kryptor by také mohl být potenciálně součástí služby, kterou hlavní aktér hrozeb nabízí svým přidruženým společnostem.