Sukker Ransomware

Sugar Ransomware er en kraftig trussel mot skadelig programvare som tilbys i en ransomware-as-a-service (RaaS)-ordning. I motsetning til de fleste fremtredende løsepengevarestammer der ute, ser Sugar ut til å være rettet mot å infisere individuelle brukere, i stedet for bedriftsmål. Et annet kjennetegn ved trusselen er dens hyppige lån fra andre løsepengevaregrupper. Detaljer om trusselen ble utgitt i en rapport publisert av nett-trusselteamet på Walmart.

I følge funnene til infosec-forskere er Sugar Ransomware skrevet ved hjelp av programmeringsspråket Delphi. I koden bruker den imidlertid forskjellige objekter hentet fra andre løsepengevarefamilier. Trusselens filkrypteringsdel har en slående likhet med SCOP-krypteringsalgoritmen fra GPLib, et grensesnittbasert bibliotek som inneholder prosedyrer og funksjoner som omhandler kryptering og dekryptering.

Løseseddelen levert til systemene som er infisert av Sugar Ransomware, ser ut til å være stort sett identisk med de løsepengekrevende meldingene fra REvil Rans o mware- truslene med tillegg av mindre distinksjoner og forskjellige feilstavinger. Når det gjelder trusselens dedikerte dekrypteringsside, ser det ut til at den låner sjenerøst fra nettstedet til Cl0p-trusselen.

Den mest interessante funksjonen som ble avdekket under Sugar Ransomwares analyse er dens kryptor. Den bruker modifisert RC4-kryptering, men enda viktigere, deler av koden kan gjenbrukes i strengdekodingsrutinen til selve løsepengevaretrusselen. Dette førte til at forskerne konkluderte med at skaperne av trusselen og kryptor kan være den samme gruppen av nettkriminelle. Kryptoren kan også potensielt være en del av en tjeneste som hovedtrusselaktøren tilbyr til sine tilknyttede selskaper.