Sugar Ransomware

Sugar Ransomware er en stærk malwaretrussel, der tilbydes i en ransomware-as-a-service (RaaS)-ordning. I modsætning til de fleste fremtrædende ransomware-stammer derude, ser Sugar ud til at være gearet til at inficere individuelle brugere i stedet for virksomhedens mål. Et andet karakteristisk kendetegn ved truslen er dens hyppige lån fra andre ransomware-grupper. Detaljer om truslen blev frigivet i en rapport offentliggjort af cybertrusselteamet hos Walmart.

Ifølge resultaterne af infosec-forskere er Sugar Ransomware skrevet ved hjælp af programmeringssproget Delphi. Men i sin kode bruger den forskellige objekter taget fra andre ransomware-familier. Truslens filkrypteringsstykke har en slående lighed med SCOP-krypteringsalgoritmen fra GPLib, et grænsefladebibliotek, der indeholder procedurer og funktioner, der beskæftiger sig med kryptering og dekryptering.

Løsesedlen, der leveres til de systemer, der er inficeret af Sugar Ransomware, ser ud til at være for det meste identisk med de løsesum-krævende beskeder fra REvil Ransomware- trusler med tilføjelse af mindre forskelle og forskellige stavefejl. Hvad angår truslens dedikerede dekrypteringsside, ser den ud til at låne generøst fra webstedet for Cl0p-truslen.

Den mest interessante funktion, der blev afsløret under Sugar Ransomwares analyse, er dens kryptor. Den bruger modificeret RC4-kryptering, men endnu vigtigere, dele af dens kode kan findes genbrugt i strengafkodningsrutinen for selve ransomware-truslen. Dette førte forskerne til den konklusion, at skaberne af truslen og kryptor kan være den samme gruppe af cyberkriminelle. Kryptoren kan også potentielt være en del af en service, som den største trussel aktør tilbyder sine tilknyttede virksomheder.