תוכנת כופר סוכר
Sugar Ransomware היא איום תוכנות זדוניות רב עוצמה המוצע בתוכנית כופר כשירות (RaaS). בניגוד לרוב זני תוכנות הכופר הבולטים בחוץ, נראה ש-Sugar מכוון להדבקה של משתמשים בודדים, במקום יעדים ארגוניים. מאפיין נוסף של האיום הוא השאלות התכופות שלו מקבוצות אחרות של תוכנות כופר. פרטים על האיום פורסמו בדו"ח שפרסם צוות איומי הסייבר בוולמארט.
על פי הממצאים של חוקרי infosec, תוכנת הכופר של סוכר נכתבת באמצעות שפת התכנות דלפי. עם זאת, בקוד שלו הוא משתמש באובייקטים שונים שנלקחו ממשפחות אחרות של תוכנות כופר. חלקת הצפנת הקבצים של האיום נושאת דמיון בולט לאלגוריתם ההצפנה SCOP מבית GPLib, ספרייה מממשקת המכילה נהלים ופונקציות העוסקות בהצפנה ופענוח.
נראה כי שטר הכופר שנמסר למערכות הנגועות ב-Sugar Ransomware זהה ברובו להודעות הדורשות כופר של איומי REvil Rans o mware עם תוספת של הבחנות קלות ושגיאות כתיב שונות. באשר לדף המפענח הייעודי של האיום, נראה שהוא שואל בנדיבות מאתר האינטרנט של איום Cl0p.
התכונה המעניינת ביותר שנחשפה במהלך הניתוח של Sugar Ransomware היא הקריפטור שלה. הוא משתמש בהצפנת RC4 שונה, אך חשוב מכך, ניתן למצוא חלקים מהקוד שלו בשימוש חוזר בשגרת פענוח המחרוזות של איום תוכנת הכופר עצמו. זה הוביל את החוקרים למסקנה שיוצרי האיום והקריפטור עשויים להיות אותה קבוצה של פושעי סייבר. ה-cryptor גם עשוי להיות חלק משירות ששחקן האיום העיקרי מציע לשותפיו.
