logo

Walmart analizuje nowe oprogramowanie ransomware „Sugar”

Zespół badaczy cyberzagrożeń z Walmart, giganta handlu detalicznego, znalazł nowy wariant oprogramowania ransomware o nazwie Sugar, który jest dostępny jako oprogramowanie ransomware jako usługa (RaaS). Ransomware as a Service (RaaS) umożliwia cyberprzestępcom zarabianie dużych pieniędzy na oprogramowaniu ransomware przy jednoczesnym ograniczeniu własnych nakładów. Według danych ten nowy wariant oprogramowania ransomware został napotkany w listopadzie 2021 r., ale Walmart nie miał wcześniej żadnych szczegółowych informacji technicznych. Format ransomware Sugar jest napisany w Delphi i posługuje się również obiektami z innych kodów ransomware. Co więcej, w przeciwieństwie do innych rodzin oprogramowania ransomware, nowy wariant Sugar jest skierowany głównie na pojedyncze komputery, a nie całe sieci firmowe, ale to nie czyni go mniej niebezpiecznym, gdyż jest oferowany jako RaaS. Walmart stwierdził w swoich wnioskach badawczych, że cyberprzestępcy używają cryptera, który jest jedną z ciekawszych funkcji Sugar. Nie tylko wykorzystuje zmodyfikowaną wersję szyfrowania RC4, ale kod z kryptera jest ponownie wykorzystywany w samym ransomware. Z tego powodu zespół badaczy uważa, że oprogramowanie ransomware Sugar i jego program szyfrujący są kontrolowane przez tę samą grupę cyberprzestępczą lub program szyfrujący jest oferowany podmiotom RaaS w ramach usługi. Analiza oprogramowania ransomware ujawniła również podobieństwa do żądania okupu stosowanego przez cyber zagrożenie ransomware REvil – ale są różnice i błędy ortograficzne – oraz podobieństwa między stroną deszyfrującą Sugar a stroną Cl0p.Co więcej, analitycy bezpieczeństwa Walmart odkryli podobieństwa do GPLib, biblioteki zawierającej procedury i funkcje do operacji szyfrowania i deszyfrowania. Napisali „Wydaje się, że fragment szyfrowania plików dla próbek, które przeanalizowaliśmy, używa algorytmu szyfrowania SCOP”.

Dlaczego Ransomware jako usługa jest tak niebezpieczny? 

W ciągu zaledwie kilku lat oprogramowanie ransomware jako usługa (RaaS) stało się bardzo rozpowszechnione wśród cyberprzestępców. Pierwszy atak Cryptolocker został zidentyfikowany w 2013 roku. Badacze stwierdzili, że obecnie dystrybuowane są 3-4 nowe rodziny oprogramowania ransomware, właśnie za pośrednictwem kanałów RaaS. Zaobserwowano, że liczba przypadków wzrosła w ostatnich latach i w dużej liczbie dochodzi do naruszenia bezpieczeństwa sieci, co jest bardzo niebezpiecznym zachowaniem, które wskazuje na zaangażowanie profesjonalnych grup cyberprzestępców.

Powrót do artykułów