Sugar Ransomware

Sugar Ransomware è una potente minaccia malware che viene offerta in uno schema di ransomware-as-a-service (RaaS). A differenza della maggior parte dei principali ceppi di ransomware in circolazione, Sugar sembra essere orientato a infettare i singoli utenti, anziché gli obiettivi aziendali. Un'altra caratteristica distintiva della minaccia è il suo frequente prestito da altri gruppi di ransomware. I dettagli sulla minaccia sono stati rilasciati in un rapporto pubblicato dal team per le minacce informatiche di Walmart.

Secondo i risultati dei ricercatori di Infosec, Sugar Ransomware è scritto utilizzando il linguaggio di programmazione Delphi. Tuttavia, nel suo codice, utilizza vari oggetti presi da altre famiglie di ransomware. Il pezzo di crittografia dei file della minaccia ha una sorprendente somiglianza con l'algoritmo di crittografia SCOP di GPLib, una libreria interfacciata contenente procedure e funzioni che si occupano di crittografia e decrittografia.

La richiesta di riscatto consegnata ai sistemi infettati da Sugar Ransomware sembra essere per lo più identica ai messaggi di richiesta di riscatto delle minacce REvil Ransomware con l'aggiunta di distinzioni minori e vari errori di ortografia. Per quanto riguarda la pagina dedicata al decryptor della minaccia, sembra prendere generosamente in prestito dal sito Web della minaccia Cl0p.

La caratteristica più interessante che è stata scoperta durante l'analisi di Sugar Ransomware è il suo cryptor. Utilizza la crittografia RC4 modificata, ma, cosa più importante, è possibile trovare parti del suo codice riutilizzate nella routine di decodifica delle stringhe della minaccia ransomware stessa. Ciò ha portato i ricercatori alla conclusione che i creatori della minaccia e del cryptor potrebbero essere lo stesso gruppo di criminali informatici. Il cryptor potrebbe anche potenzialmente far parte di un servizio che il principale attore di minacce offre ai suoi affiliati.