کمیته رکن چهارم – محققان امنیت سایبری SentinelLabs از پدیدار شدن باجافزار جدیدی به نام Rook خبر دادند که همپوشانیهای زیادی با باجافزار Babuk دارد.
گروه باجافزاری جدیدی به نام Rook اخیرا در فضای جرم سایبری پدیدار شده است. طبق ادعای این گروه، آنها نیازی مبرم به حجم زیادی از پول دارند و ظاهرا از طریق رخنه به شبکههای سازمانی و رمزنگاری دستگاهها این مبالغ را تهیه میکنند.
محققان ،SentinelLabs این گروه به دقت مورد بررسی قرار دادهاند و همپوشانیهایی را میان آن و باجافزار بابوک پیدا کردهاند.
پیلود باجافزار روک از طریق کوبالت استرایک انتقال داده میشود. طبق گزارشها، ایمیلهای فیشینگ و دانلودهای مرموز محورهای اصلی آلودگی هستند.
این پیلودها با UPX یا دیگر رمزنگارهایی همراه هستند که به شناسایی نشدن آنها کمک میکنند. هنگامی که این باجافزار اجرا میشود، فرایندهای مرتبط با ابزار امنیتی یا هر چیزی که باعث اختلال رمزنگاری میشود را نابود میکند. روک همچنین با استفاده از vssadmin.exe کپیهای سرویس volume shadow را حذف کنند. این تاکتیک استاندارد با هدف جلوگیری از بازیابی فایلها توسط سرویس بازیابی Volume Shadow مورد استفاده قرار میگیرد.
بنابراین روک فایلها رمزنگاری می کند و پس از ضمیمه افزونه .Rook به آن، خود را از سیستم در معرض خطر حذف میکند.
SentinelLabs شباهتهای کدگذاری متعددی را میان روک و بابوک پیدا کردهاند. بر اساس همین شباهتها، Sentinel One مدعی است که روک، مبتنی بر کد منبع نشتشده برای گروه باجافزاری بابوک است.
هنوز زود است در مورد پیچیدگی حملات روک صحبت کنیم اما نتایج آلودگی آنها همچنان شدید است و به رمزنگاری و سرقت داده ختم خواهد شد.
سایت نشت داده روک در حال حاضر دو قربانی دارد: یک بانک و یک متخصص هوافضا و هوانوردی هند.
منبع : سایبربان
