Sugar Ransomware

Sugar Ransomware är ett kraftfullt malware-hot som erbjuds i ett ransomware-as-a-service (RaaS)-schema. Till skillnad från de flesta framstående ransomware-stammar där ute, verkar Sugar vara inriktat på att infektera enskilda användare, istället för företagsmål. En annan utmärkande egenskap hos hotet är dess frekventa lån från andra ransomware-grupper. Detaljer om hotet släpptes i en rapport publicerad av cyberhotteamet på Walmart.

Enligt resultaten från infosec-forskare är Sugar Ransomware skriven med hjälp av programmeringsspråket Delphi. Men i sin kod använder den olika objekt hämtade från andra ransomware-familjer. Hotets filkrypteringsdel har en slående likhet med SCOP-krypteringsalgoritmen från GPLib, ett gränssnittsbibliotek som innehåller procedurer och funktioner som hanterar kryptering och dekryptering.

Lösenbeloppet som levereras till systemen som infekterats av Sugar Ransomware verkar vara mestadels identisk med de lösenkrävande meddelandena från REvil Ransomware- hoten med tillägg av mindre distinktioner och olika felstavningar. När det gäller hotets dedikerade dekrypteringssida verkar den låna generöst från webbplatsen för Cl0p-hotet.

Den mest intressanta funktionen som upptäcktes under Sugar Ransomwares analys är dess kryptor. Den använder modifierad RC4-kryptering, men, ännu viktigare, delar av dess kod kan återanvändas i strängavkodningsrutinen för själva ransomware-hotet. Detta ledde forskarna till slutsatsen att skaparna av hotet och kryptorn kan vara samma grupp av cyberkriminella. Kryptor kan också potentiellt vara en del av en tjänst som den största hotaktören erbjuder sina dotterbolag.