Сахарный вымогатель

Sugar Ransomware — это мощное вредоносное ПО, которое предлагается по схеме «программа-вымогатель как услуга» (RaaS). В отличие от большинства известных штаммов программ-вымогателей, Sugar, по-видимому, ориентирован на заражение отдельных пользователей, а не корпоративных целей. Еще одна отличительная черта угрозы — ее частое заимствование у других групп вымогателей. Подробности об угрозе были опубликованы в отчете, опубликованном командой по киберугрозам Walmart.

Согласно выводам исследователей информационной безопасности, программа-вымогатель Sugar написана с использованием языка программирования Delphi. Однако в своем коде он использует различные объекты, взятые из других семейств вымогателей. Компонент шифрования файла угрозы имеет поразительное сходство с алгоритмом шифрования SCOP из GPLib — библиотеки с интерфейсом, содержащей процедуры и функции, связанные с шифрованием и дешифрованием.

Записка с требованием выкупа, доставляемая в системы, зараженные Sugar Ransomware, по большей части идентична сообщениям с требованием выкупа вредоносных программ REvil Rans с добавлением незначительных отличий и различных орфографических ошибок. Что касается специальной страницы расшифровщика угрозы, похоже, она щедро заимствована с веб-сайта угрозы Cl0p.

Самая интересная особенность, которая была обнаружена в ходе анализа Sugar Ransomware, — это его криптор. Он использует модифицированное шифрование RC4, но, что более важно, части его кода могут быть повторно использованы в процедуре декодирования строк самой угрозы-вымогателя. Это привело исследователей к выводу, что создателями угрозы и шифровальщика может быть одна и та же группа киберпреступников. Кроме того, шифровальщик потенциально может быть частью услуги, которую основной злоумышленник предлагает своим аффилированным лицам.