Sugar Ransomware

Sugar Ransomware to potężne zagrożenie złośliwym oprogramowaniem, które jest oferowane w ramach programu ransomware jako usługa (RaaS). W przeciwieństwie do większości znanych odmian oprogramowania ransomware, Sugar wydaje się być nastawiony na infekowanie indywidualnych użytkowników, a nie na cele korporacyjne. Inną wyróżniającą cechą zagrożenia jest częste zapożyczanie od innych grup oprogramowania ransomware. Szczegóły dotyczące zagrożenia zostały ujawnione w raporcie opublikowanym przez zespół ds. cyberzagrożeń w Walmart.

Według ustaleń badaczy infosec, Sugar Ransomware jest napisany przy użyciu języka programowania Delphi. Jednak w swoim kodzie wykorzystuje różne obiekty zaczerpnięte z innych rodzin ransomware. Element szyfrowania plików zagrożenia wykazuje uderzające podobieństwo do algorytmu szyfrowania SCOP z GPLib, biblioteki interfejsów zawierającej procedury i funkcje zajmujące się szyfrowaniem i deszyfrowaniem.

Notatka z żądaniem okupu dostarczona do systemów zainfekowanych przez Sugar Ransomware wydaje się być w większości identyczna z żądającymi okupu wiadomościami z zagrożeń REvil Ransomware z dodatkiem drobnych rozróżnień i różnych błędów pisowni. Jeśli chodzi o dedykowaną stronę deszyfratora zagrożenia, wydaje się, że hojnie zapożycza się ze strony internetowej zagrożenia Cl0p.

Najciekawszą funkcją, która została odkryta podczas analizy Sugar Ransomware, jest jego szyfrator. Używa zmodyfikowanego szyfrowania RC4, ale, co ważniejsze, części jego kodu można znaleźć ponownie w procedurze dekodowania ciągów samego zagrożenia ransomware. Doprowadziło to badaczy do wniosku, że twórcy zagrożenia i programu szyfrującego mogą być tą samą grupą cyberprzestępców. Program szyfrujący może również potencjalnie stanowić część usługi, którą główny podmiot atakujący oferuje swoim podmiotom stowarzyszonym.