Sugar Ransomware

Sugar Ransomware on voimakas haittaohjelmauhka, jota tarjotaan ransomware-as-a-service (RaaS) -järjestelmässä. Toisin kuin useimmat tunnetuimmat kiristysohjelmakannat, Sugar näyttää olevan suunnattu yksittäisten käyttäjien tartuttamiseen yrityskohteiden sijaan. Toinen uhan erottava piirre on sen usein lainaaminen muilta kiristysohjelmaryhmiltä. Uhkauksen yksityiskohdat julkaistiin Walmartin kyberuhkatiimin julkaisemassa raportissa.

Infosec-tutkijoiden havaintojen mukaan Sugar Ransomware on kirjoitettu Delphi-ohjelmointikielellä. Kuitenkin koodissaan se käyttää erilaisia objekteja, jotka on otettu muista kiristysohjelmaperheistä. Uhkaan tiedostojen salausosa on silmiinpistävästi samankaltainen kuin GPLibin SCOP-salausalgoritmi, rajapintakirjasto, joka sisältää salaukseen ja salauksen purkamiseen liittyviä menettelyjä ja toimintoja.

Sugar Ransomwaren saastuttamiin järjestelmiin toimitettu lunnasilmoitus näyttää olevan enimmäkseen identtinen REvil Rans o mware -uhkien lunnaita vaativien viestien kanssa, mutta niihin on lisätty pieniä erotteluja ja erilaisia kirjoitusvirheitä. Mitä tulee uhan omaan salauksenpurkusivuun, se näyttää lainaavan anteliaasti Cl0p-uhan verkkosivustolta.

Mielenkiintoisin ominaisuus, joka paljastettiin Sugar Ransomwaren analyysin aikana, on sen salausohjelma. Se käyttää muokattua RC4-salausta, mutta mikä tärkeintä, osia sen koodista voidaan löytää uudelleen käytettynä itse kiristyshaittauhan merkkijonon dekoodausrutiinissa. Tämä johti tutkijat siihen johtopäätökseen, että uhan ja kryptorin luojat voivat olla samaa kyberrikollisten ryhmää. Salaus voi myös mahdollisesti olla osa palvelua, jota pääuhkatoimija tarjoaa tytäryhtiöilleen.