Rook ransomware est encore une autre génération du code Babuk divulgué

rook

Une nouvelle opération de ransomware nommée Rook est apparue récemment sur l’espace de la cybercriminalité, déclarant un besoin désespéré de gagner « beaucoup d’argent » en violant les réseaux d’entreprise et en cryptant les appareils.

Bien que les déclarations d’introduction sur leur portail de fuite de données aient été légèrement amusantes, les premières annonces de victimes sur le site ont clairement indiqué que Rook ne jouait pas à des jeux.

Section À propos de nous sur le portail des fuites de Rook
Section À propos de nous sur le portail des fuites de Rook

Les chercheurs de SentinelLabs se sont penchés sur la nouvelle souche, révélant ses détails techniques, sa chaîne d’infection et son chevauchement avec le ransomware Babuk.

Processus d’infection

La charge utile du ransomware Rook est généralement livrée via Cobalt Strike, les e-mails de phishing et les téléchargements torrent louches étant signalés comme vecteur d’infection initial.

Les charges utiles sont emballées avec UPX ou d’autres crypteurs pour aider à échapper à la détection. Lorsqu’il est exécuté, le ransomware tente de mettre fin aux processus liés aux outils de sécurité ou à tout ce qui pourrait interrompre le cryptage.

Services terminés
Services terminés
Source : SentinelLabs

« Il est intéressant de noter que le pilote kph.sys de Process Hacker entre en jeu dans l’arrêt du processus dans certains cas, mais pas dans d’autres », explique SentinelLabs dans son rapport.

« Cela reflète probablement le besoin de l’attaquant d’exploiter le pilote pour désactiver certaines solutions de sécurité locales sur des engagements spécifiques. »

Processus d'effacement des clichés instantanés de volume
Processus d’effacement des clichés instantanés de volume
Source : SentinelLabs

Rook utilise également vssadmin.exe pour supprimer les clichés instantanés de volume, une tactique standard utilisée par les opérations de ransomware pour empêcher les volumes fantômes d’être utilisés pour récupérer des fichiers.

Les analystes n’ont trouvé aucun mécanisme de persistance, donc Rook chiffrera les fichiers, ajoutera l’extension « .Rook » puis se supprimera du système compromis.

Fichiers chiffrés par Rook
Fichiers chiffrés par Rook
Source : SentinelLabs

Basé sur Babouk

SentinelLabs a trouvé de nombreuses similitudes de code entre Rook et Babuk, un ancien RaaS dont le code source complet a été divulgué sur un forum russophone en septembre 2021.

Par exemple, Rook utilise les mêmes appels d’API pour récupérer le nom et l’état de chaque service en cours d’exécution et les mêmes fonctions pour les terminer.

De plus, la liste des processus et des services Windows qui sont arrêtés est la même pour les deux ransomwares.

Cela inclut la plate-forme de jeu Steam, le client de messagerie Microsoft Office et Outlook, et Mozilla Firefox et Thunderbird.

D’autres similitudes incluent la façon dont le chiffreur supprime les clichés instantanés de volume, utilise l’API Windows Restart Manager et énumère les lecteurs locaux.

Énumération des lecteurs locaux par ordre alphabétique
Énumération des lecteurs locaux par ordre alphabétique
Source : SentinelLabs

En raison de ces similitudes de code, Sentinel One pense que Rook est basé sur le code source divulgué pour l’opération Babuk Ransomware.

Rook est-il une menace sérieuse ?

Bien qu’il soit trop tôt pour dire à quel point les attaques de Rook sont sophistiquées, les conséquences d’une infection sont toujours graves, conduisant à des données cryptées et volées.

Le site de fuite de données de Rook contient actuellement deux victimes, une banque et un spécialiste indien de l’aviation et de l’aérospatiale.

Les deux ont été ajoutés ce mois-ci, nous sommes donc à un stade précoce des activités du groupe.

Si des affiliés qualifiés rejoignent le nouveau RaaS, Rook pourrait devenir une menace importante à l’avenir.