Sugar Ransomware

Sugar Ransomware je močna grožnja zlonamerne programske opreme, ki se ponuja v shemi ransomware-as-a-service (RaaS). Za razliko od večine znanih vrst odkupovalne programske opreme, se zdi, da je Sugar usmerjen v okužitev posameznih uporabnikov namesto na korporativne cilje. Druga značilnost grožnje je njeno pogosto izposojanje od drugih skupin izsiljevalske programske opreme. Podrobnosti o grožnji so bile objavljene v poročilu, ki ga je objavila skupina za kibernetske grožnje pri Walmartu.

Po ugotovitvah raziskovalcev infosec je Sugar Ransomware napisan v programskem jeziku Delphi. Vendar pa v svoji kodi uporablja različne predmete, vzete iz drugih družin izsiljevalske programske opreme. Del šifriranja datotek grožnje je presenetljivo podoben šifrirnemu algoritmu SCOP iz GPLib, vmesniške knjižnice, ki vsebuje postopke in funkcije, ki se ukvarjajo s šifriranjem in dešifriranjem.

Zdi se, da je obvestilo o odkupnini, dostavljeno sistemom, okuženim s programsko opremo Sugar Ransomware, večinoma identično sporočilom, ki zahtevajo odkupnino groženj o mware REvil Rans , z dodatkom manjših razlik in različnih napačno črkovanih. Kar zadeva namensko stran za dešifriranje grožnje, se zdi, da se velikodušno izposoja s spletnega mesta grožnje Cl0p.

Najbolj zanimiva lastnost, ki je bila odkrita med analizo Sugar Ransomware, je njen kriptor. Uporablja spremenjeno šifriranje RC4, vendar je še pomembneje, da je dele njegove kode mogoče najti znova uporabljene v rutini dekodiranja nizov same grožnje izsiljevalske programske opreme. To je raziskovalce pripeljalo do zaključka, da sta ustvarjalca grožnje in kriptorja morda ista skupina kibernetičnih kriminalcev. Kriptor bi lahko bil tudi del storitve, ki jo glavni akter grožnje ponuja svojim podružnicam.