Sugar Ransomware

O Sugar Ransomware é uma poderosa ameaça de malware que está sendo oferecida em um esquema de ransomware-como-um-serviço (RaaS). Ao contrário da maioria dos tipos de ransomware proeminentes, o Sugar parece ser voltado para infectar usuários individuais, em vez de alvos corporativos. Outra característica distintiva da ameaça é o empréstimo frequente de outros grupos de ransomware. Detalhes sobre a ameaça foram divulgados em um relatório publicado pela equipe de ameaças cibernéticas do Walmart.

De acordo com as descobertas dos pesquisadores de infosec, o Sugar Ransomware é escrito usando a linguagem de programação Delphi. No entanto, no seu código, ele usa vários objetos retirados de outras famílias de ransomware. A peça de criptografia de arquivos da ameaça tem uma semelhança impressionante com o algoritmo de criptografia SCOP da GPLib, uma biblioteca de interface contendo procedimentos e funções que lidam com criptografia e descriptografia.

A nota de resgate entregue aos sistemas infectados pelo Sugar Ransomware parece ser quase idêntica às mensagens exigindo resgate das ameaças da família do REvil Ransomware com a adição de pequenas distinções e vários erros de ortografia. Quanto à página de descriptografia dedicada da ameaça, ela parece estar emprestando generosamente do site da ameaça Cl0p.

O recurso mais interessante que foi descoberto durante a análise do Sugar Ransomware é o seu codificador. Ele usa a criptografia RC4 modificada, mas, mais importante, partes de seu código podem ser encontradas reutilizadas na rotina de decodificação de strings da própria ameaça de ransomware. Isso levou os pesquisadores à conclusão de que os criadores da ameaça e do codificador podem ser o mesmo grupo de cibercriminosos. O codificador também pode fazer parte de um serviço que o principal agente de ameaças oferece a seus afiliados.