Sugar Ransomware

Sugar Ransomware është një kërcënim i fuqishëm malware që po ofrohet në një skemë ransomware-as-a-service (RaaS). Ndryshe nga llojet më të spikatura të ransomware-ve atje, Sugar duket se është i orientuar drejt infektimit të përdoruesve individualë, në vend të objektivave të korporatave. Një tjetër karakteristikë dalluese e kërcënimit është huazimi i tij i shpeshtë nga grupe të tjera ransomware. Detajet rreth kërcënimit u publikuan në një raport të publikuar nga ekipi i kërcënimeve kibernetike në Walmart.

Sipas gjetjeve të studiuesve të infosec, Sugar Ransomware është shkruar duke përdorur gjuhën e programimit Delphi. Megjithatë, në kodin e tij, ai përdor objekte të ndryshme të marra nga familje të tjera ransomware. Pjesa e enkriptimit të skedarit të kërcënimit ka një ngjashmëri të habitshme me algoritmin e enkriptimit SCOP nga GPLib, një bibliotekë e ndërlidhur që përmban procedura dhe funksione që kanë të bëjnë me enkriptimin dhe deshifrimin.

Shënimi i shpërblimit të dorëzuar në sistemet e infektuara nga Sugar Ransomware duket se është kryesisht identik me mesazhet që kërkojnë shpërblesë të kërcënimeve të REvil Rans o mware me shtimin e dallimeve të vogla dhe gabimeve të ndryshme drejtshkrimore. Sa i përket faqes së dekriptuar të kërcënimit, duket se po huazohet bujarisht nga faqja e internetit e kërcënimit Cl0p.

Tipari më interesant që u zbulua gjatë analizës së Sugar Ransomware është kriptori i tij. Ai përdor kriptim të modifikuar RC4, por, më e rëndësishmja, pjesë të kodit të tij mund të gjenden të ripërdorura në rutinën e dekodimit të vargut të vetë kërcënimit të ransomware. Kjo i çoi studiuesit në përfundimin se krijuesit e kërcënimit dhe kriptorit mund të jenë i njëjti grup kriminelësh kibernetikë. Kriptori gjithashtu mund të jetë potencialisht një pjesë e një shërbimi që aktori kryesor i kërcënimit u ofron filialeve të tij.