Walmart disseca novo ransomware ‘Sugar’

A família de ransomware Sugar é escrita em Delphi e empresta objetos de outras famílias de ransomware por aí. Foi visto inicialmente em novembro de 2021, mas não foi detalhado antes.

Ao contrário das famílias de ransomware mais prevalentes, o Sugar visa principalmente computadores individuais em vez de redes corporativas, mas isso não o torna menos perigoso, especialmente porque é oferecido como RaaS.

Segundo o Walmart, uma das características mais interessantes do Sugar é sua criptografia. Ele não apenas emprega uma versão modificada da criptografia RC4, mas o código do crypter está sendo reutilizado no próprio ransomware.

Por causa disso, o Walmart acredita que tanto o ransomware Sugar quanto seu crypter são o trabalho do mesmo desenvolvedor, ou o crypter está sendo oferecido a afiliados como parte do serviço.

“O malware está escrito em Delphi mas o interessante […] provavelmente parte do processo de construção ou algum serviço que o ator principal oferece aos seus afiliados”, observam os pesquisadores do Walmart.

A análise do ransomware também trouxe à tona semelhanças com a nota de resgate empregada pelos operadores de ransomware REvil – mas também diferenças e erros ortográficos – e semelhanças entre a página de descriptografia do Sugar e a do Cl0p.

Além disso, os pesquisadores de segurança do Walmart encontraram semelhanças com a GPLib, uma biblioteca que contém procedimentos e funções para operações de criptografia e descriptografia.

“A peça de criptografia de arquivo para amostras que analisamos parece estar usando o algoritmo de criptografia SCOP”, observam.

Com grandes operações de ransomware anunciando desligamentos (como BlackMatter ) ou sendo alvo de ações de aplicação da lei ( REvil ), novas operações de RaaS têm muito espaço para prosperar e até se tornarem ameaças estabelecidas.

Fonte: https://www.securityweek.com/