به گزارش کارگروه حملات سایبری سایبربان؛ گروه باج افزاری جدیدی به نام Rook (روک) اخیرا در فضای جرم سایبری پدیدار شده است. طبق ادعای این گروه، آن ها نیازی مبرم به حجم زیادی از پول دارند و ظاهرا از طریق رخنه به شبکه های سازمانی و رمز نگاری دستگاه ها این مبالغ را تهیه می کنند.
محققین SentinelLabs این گروه به دقت مورد بررسی قرار داده اند و هم پوشانی هایی را میان آن و باج افزار بابوک پیدا کرده اند.
پی لود باج افزار روک از طریق کوبالت استرایک انتقال داده می شود. طبق گزارشات، ایمیل های فیشینگ و دانلود های مرموز محورهای اصلی آلودگی هستند.
این پی لودها با UPX یا دیگر رمزنگارهایی همراه هستند که به شناسایی نشدن آن ها کمک می کنند. هنگامی که این باج افزار اجرا می شود، پروسه های مرتبط با ابزار امنیتی یا هر چیزی که باعث اختلال رمزنگاری میشود را نابود می کند. روک همچنین با استفاده از vssadmin.exe کپی های سرویس volume shadow را حذف کنند. این تاکتیک استاندارد با هدف جلوگیری از بازیابی فایل ها توسط سرویس بازیابی Volume Shadow مورد استفاده قرار می گیرد.
بنابراین روک فایل ها رمزنگاری می کند و پس از ضمیمه افزونه .Rook به آن، خود را از سیستم در معرض خطر حذف می کند.
SentinelLabs شباهت های کد گذاری متعددی را میان روک و بابوک پیدا کرده اند. بر اساس همین شباهت ها، Sentinel One مدعی است که روک، مبتنی بر کد منبع نشت شده برای گروه باج افزاری بابوک می باشد.
هنوز زود است در مورد پیچیدگی حملات روک صحبت کنیم اما نتایج آلودگی آن ها همچنان شدید است و به رمزنگاری و سرقت داده ختم خواهد شد.
سایت نشت داده روک در حال حاضر دو قربانی دارد: یک بانک و یک متخصص هوافضا و هوانوردی هند.
