Rookという名前の新しいランサムウェアがサイバー犯罪の場に登場し、企業のネットワークに侵入してデバイスを暗号化することで「大金」を稼ぐことを宣言しています。
2021年11月30日、Rookの最初の犠牲者が出ました。Rookのウェブサイトによると、Rookの操作したものが1123GBのデータを盗んだのは、カザフスタンの金融機関で、その後さらに被害者が増えています。
SentinelLabs社は、この新種のランサムウェアを研究し、その技術的詳細、感染経路、Babukランサムウェアとの重なりなどを明らかにしています。
感染プロセス
Rookランサムウェアのペイロードは、通常Cobalt Strike経由で配信され、フィッシングメールや怪しいトレントのダウンロードが最初の感染経路として報告されています。
ペイロードには、検出を回避するためにUPXやその他の暗号化技術が組み込まれています。ランサムウェアが実行されると、セキュリティツールに関連するプロセスや、暗号化を中断させる可能性のあるプロセスを終了させようとします。
興味深いことに、kph.sysドライバがプロセスの終了に関与するケースがありますが、そうでないケースもあります
これは、攻撃者が特定の業務において、特定のローカルセキュリティソリューションを無効にするために、このドライバーを活用する必要があったことを反映していると考えられます
Rookはまたvssadmin.exeを使用してボリュームシャドウコピーを削除します。これは、シャドウボリュームがファイルの復元に使用されるのを防ぐために、ランサムウェアの運用で使用される標準的な戦術です。
アナリストが調べたところ、Rookはファイルを暗号化し、「.Rook」という拡張子を付けた後、感染したシステムから自分自身を削除します。
Babukをベース
SentinelLabsは、Rookと2021年9月にロシア語圏のフォーラムで完全なソースコードが流出した、すでに活動を終了しているRaaSであるBabukと比較し、多数のコードの類似性を発見しました。
例えば、Rookは実行中の各サービスの名前と状態を取得するために同じAPIコールを使用し、それらを終了させるために同じ関数を使用しています。
また、停止させるプロセスやWindowsサービスのリストは、どちらのランサムウェアも同じです。
これには、ゲームプラットフォームの「Steam」、電子メールクライアントの「Microsoft Office」と「Outlook」、「Mozilla Firefox」と「Thunderbird」が含まれます。
その他の類似点としては、暗号化装置がシャドーボリュームコピーを削除する方法、Windows Restart Manager APIの使用、ローカルドライブの列挙などが挙げられます。
このようなコードの類似性から、Sentinel One社はRookがBabukランサムウェアのリークされたソースコードをベースにしていると考えています。
Rookは深刻な脅威か?
Rookの攻撃がどの程度洗練されているかを判断するのはまだ早いですが、感染した場合の影響は深刻で暗号化されたデータや盗まれたデータにつながります。
Rookの情報漏えいサイトには、現在銀行とインドの航空・宇宙専門企業の2つの被害者がいます。
どちらも今月追加されたもので、グループの活動としてはまだ早い段階にあります。
熟練したアフィリエイターが新しいRaaSに参加すれば、Rookは将来的に大きな脅威となる可能性があります。
Comments