Sugar Ransomware

Sugar Ransomware, bir hizmet olarak fidye yazılımı (RaaS) şemasında sunulan güçlü bir kötü amaçlı yazılım tehdididir. Piyasadaki en önde gelen fidye yazılımı türlerinin aksine Sugar, kurumsal hedefler yerine bireysel kullanıcıları etkilemeye yönelik görünüyor. Tehdidin bir diğer ayırt edici özelliği, diğer fidye yazılımı gruplarından sık sık ödünç almasıdır. Tehditle ilgili ayrıntılar, Walmart'taki siber tehdit ekibi tarafından yayınlanan bir raporda yayınlandı.

Infosec araştırmacılarının bulgularına göre Sugar Ransomware, Delphi programlama dili kullanılarak yazılıyor. Ancak, kodunda diğer fidye yazılımı ailelerinden alınan çeşitli nesneleri kullanır. Tehdidin dosya şifreleme parçası, şifreleme ve şifre çözme ile ilgili prosedürler ve işlevler içeren arayüzlü bir kitaplık olan GPLib'in SCOP şifreleme algoritmasıyla çarpıcı bir benzerlik taşır.

Sugar Ransomware tarafından etkilenen sistemlere gönderilen fidye notu, REvil Ransomware tehditlerinin fidye talep eden mesajlarıyla, küçük ayrımlar ve çeşitli yazım hatalarıyla çoğunlukla aynı görünüyor. Tehdidin özel şifre çözücü sayfasına gelince, Cl0p tehdidinin web sitesinden cömertçe ödünç alıyor gibi görünüyor.

Sugar Ransomware'in analizi sırasında ortaya çıkan en ilginç özellik, şifreleyicisidir. Değiştirilmiş RC4 şifrelemesi kullanır, ancak daha da önemlisi, kodunun bölümlerinin, fidye yazılımı tehdidinin dize kod çözme rutininde yeniden kullanılmış olarak bulunabilir. Bu, araştırmacıları, tehdidin ve şifreleyicinin yaratıcılarının aynı siber suçlu grubu olabileceği sonucuna götürdü. Şifreleyici, potansiyel olarak ana tehdit aktörünün bağlı kuruluşlarına sunduğu bir hizmetin parçası olabilir.