Sugar Ransomware

Sugar Ransomware is een krachtige malwarebedreiging die wordt aangeboden in een ransomware-as-a-service (RaaS)-schema. In tegenstelling tot de meeste prominente ransomware-soorten die er zijn, lijkt Sugar gericht te zijn op het infecteren van individuele gebruikers, in plaats van zakelijke doelen. Een ander onderscheidend kenmerk van de dreiging is het veelvuldig lenen van andere ransomware-groepen. Details over de dreiging zijn gepubliceerd in een rapport dat is gepubliceerd door het cyberdreigingsteam van Walmart.

Volgens de bevindingen van infosec-onderzoekers is de Sugar Ransomware geschreven met de programmeertaal Delphi. In zijn code gebruikt het echter verschillende objecten van andere ransomware-families. Het bestandscoderingsstuk van de dreiging vertoont een opvallende gelijkenis met het SCOP-coderingsalgoritme van GPLib, een gekoppelde bibliotheek met procedures en functies die te maken hebben met codering en decodering.

Het losgeldbriefje dat is afgeleverd op de systemen die zijn geïnfecteerd door de Sugar Ransomware, lijkt grotendeels identiek te zijn aan de berichten die losgeld eisen van de REvil Ransomware -bedreigingen, met de toevoeging van kleine verschillen en verschillende spelfouten. Wat betreft de speciale decryptorpagina van de dreiging, deze lijkt genereus te lenen van de website van de Cl0p-dreiging.

De meest interessante functie die werd ontdekt tijdens de analyse van Sugar Ransomware is de cryptor. Het maakt gebruik van aangepaste RC4-codering, maar, belangrijker nog, delen van de code kunnen worden hergebruikt in de string-decoderingsroutine van de ransomware-dreiging zelf. Dit leidde de onderzoekers tot de conclusie dat de makers van de dreiging en cryptor mogelijk dezelfde groep cybercriminelen zijn. De cryptor kan mogelijk ook deel uitmaken van een dienst die de belangrijkste bedreigingsactor aan zijn gelieerde ondernemingen aanbiedt.