Ransomware-ul Sugar solicită note de răscumpărare mici
https://www.bleepingcomputer.com
O nouă amenințare de tip ransomware numită Sugar vizează rețelele companiilor mici și computerele individuale ale utilizatorilor, de aceea nu este clar cum este distribuit ransomware-ul. Sugar – ransomware-as-a-Service (RaaS) – a fost descoperit pentru prima dată de echipa de securitate Walmart în noiembrie 2021. Numele ransomware-ului este asociat cu site-ul grupului de atacatori, descoperit de Walmart la adresa „sugarpanel[.]space”.
Ransomware-ul Sugar se conectează la „whatismyipaddress.com” și „ip2location.com” pentru a obține adresa IP și locația geografică a dispozitivului. Apoi se descărcă un fișier de 76 MB de la adresa http://cdn2546713.cdnmegafiles[.]com/data23072021_1.dat dar nu se știe cum este utilizat acest fișier.
În cele din urmă, se va stabili o conexiune la serverul de comandă și control la adresa 179.43.160.195, pentru a transmite și a primi date legate de atac. Ransomware-ul comunică înapoi la serverul de comandă și control, actualizând programul malițios RaaS cu starea atacului.
La partea de criptare, vor fi criptate toate fișierele cu excepția celor listate în următoarele foldere: \windows\, \DRIVERS\, \PerfLogs\, \temp\, \boot\ șicu următoarele extensii: BOOTNXT, bootmgr, pagefile, .exe, .dll, .sys, .lnk, .bat, .cmd, .ttf, .manifest, .ttc, .cat, .msi. Cercetătorii de la Walmart au declarat că atacatorii folosesc algoritmul de criptare SCOP.
Fișierele criptate vor avea extensia „.encoded01” atașată la numele fișierelor. Ransomware-ul va crea de asemenea cereri de răscumpărare numite „BackFiles_encoded01.txt” în fiecare folder care a fost scanat.
Nota de răscumpărare conține informații despre fișierele afectate, un ID unic și un link de redirecționare către un site Tor cu adresa „chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onion”. În urma accesării site-ului Tor se deschide o pagină care conține adresa bitcoin pentru a trimite o răscumpărare, o secțiune de chat și posibilitatea de a decripta cinci fișiere gratuit.
Cererile de răscumpărare ale acestei operațiuni sunt foarte mici, atacurile observate de BleepingComputer cerând doar câteva sute de dolari pentru a primi o cheie. În urma unei testări, cererea de răscumpărare rezultată a fost de numai 0,00009921 bitcoini, în valoare de 4,01 dolari.
Deoarece BleepingComputer a testat ransomware-ul pe o mașină virtuală cu un număr mic de fișiere, acest lucru ar putea indica faptul că ransomware-ul generează sumele de răscumpărare pe baza numărului de fișiere criptate.
Spre deosebire de majoritatea atacurilor de tip ransomware, în acest caz malware-ul rulează chiar și după ce criptarea s-a încheiat. Cu toate acestea, nu este creată nicio setare de pornire automată și nu pare să continue să cripteze documente noi.
Sursa: https://www.bleepingcomputer.com/news/security/a-look-at-the-new-sugar-ransomware-demanding-low-ransoms/
