Новая операция Sugar Ransomware активно нацелена на отдельные компьютеры, а не на корпоративные сети, с низкими требованиями выкупа.
Sugar, впервые обнаруженный командой безопасности Walmart, представляет собой новую операцию Ransomware-as-a-Service (RaaS), которая была запущена в ноябре 2021 года, но постепенно набирает обороты.
Название программы-вымогателя основано на аффилированном сайте операции, обнаруженном Walmart по адресу «sugarpanel[.]space».
В отличие от большинства программ-вымогателей, о которых вы читали в новостях, Sugar, по-видимому, нацелен не на корпоративные сети, а на отдельные устройства, которые, вероятно, принадлежат потребителям или малому бизнесу.
Таким образом, неясно, как программа-вымогатель распространяется или заражает жертв.
Сахарный вымогатель
При запуске Sugar Ransomware подключится к whatismyipaddress.com и ip2location.com, чтобы получить IP-адрес и географическое местоположение устройства.Затем он продолжит загрузку файла размером 76 МБ с http://cdn2546713.cdnmegafiles[.]com/data23072021_1.dat, но неясно, как этот файл используется.
Наконец, он подключится к командному серверу программы-вымогателя по адресу 179.43.160.195, откуда будет передавать и получать данные, связанные с атакой. Программа-вымогатель будет продолжать обращаться к командному серверу по мере выполнения, вероятно, обновляя RaaS статусом атаки.
Сетевой трафик, генерируемый программой-вымогателем Sugar
Источник: BleepingComputer
При шифровании файлов программа-вымогатель шифрует все файлы, кроме тех, которые перечислены в следующих папках или имеют следующие имена файлов:
Excluded folders:
\windows\
\DRIVERS\
\PerfLogs\
\temp\
\boot\
Excluded files:
BOOTNXT
bootmgr
pagefile
.exe
.dll
.sys
.lnk
.bat
.cmd
.ttf
.manifest
.ttc
.cat
.msi;
Исследователи Walmart говорят , что программа-вымогатель шифрует файлы с помощью алгоритма шифрования SCOP . Зашифрованные файлы будут иметь расширение .encoded01 , добавленное к именам файлов, как показано ниже.
Зашифрованные Sugar файлы с расширением .encoded01
Источник: BleepingComputer
Программа-вымогатель также будет создавать заметки о выкупе с именем BackFiles_encoded01.txt в каждой папке, которая была проверена на наличие файлов на компьютере.
Эта записка о выкупе содержит информацию о том, что случилось с файлами жертвы, уникальный идентификатор и ссылку на сайт Tor с информацией о том, как заплатить выкуп. Сайт Tor находится по адресу chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onion.
Записка о выкупе за сахар
Источник: BleepingComputer
При посещении сайта Tor жертве будет представлена его собственная страница, содержащая биткойн-адрес для отправки выкупа, раздел чата и возможность бесплатно расшифровать пять файлов.
Платежный сайт Sugar Tor
Источник: BleepingComputer
Требование выкупа для этой операции очень низкое: атаки, замеченные BleepingComputer, требуют всего несколько сотен долларов для получения ключа. Как ни странно, в нашем тестовом блоке итоговое требование выкупа составило всего 0,00009921 биткойнов на сумму 4,01 доллара.
Поскольку BleepingComputer протестировал программу-вымогатель на виртуальной машине с небольшим количеством файлов, это может указывать на то, что программа-вымогатель генерирует суммы выкупа на основе количества зашифрованных файлов.
Требование выкупа от теста программы-вымогателя
Sugard Источник: BleepingComputer
В отличие от большинства заражений программами-вымогателями, исполняемый файл вредоносного ПО запускается даже после завершения шифрования. Однако настройки автоматического запуска не создаются и, похоже, не продолжают шифровать новые документы.
В настоящее время неясно, есть ли у программы-вымогателя какие-либо слабые места, которые могут позволить расшифровку бесплатно. Мы будем обновлять эту статью по мере поступления дополнительной информации.
Перевод - Google
Bleeping Computer
