Một hoạt động ransomware mới có tên Rook được nhà nghiên cứu Zach Allen thông tin lần đầu tiên và thu hút sự chú ý của các chuyên gia vì tuyên bố trắng trợn rằng chúng có thể xâm nhập vào hệ thống mục tiêu và cần kiếm nhiều tiền bằng cách thâm nhập vào các mạng lưới của các công ty.
Vào ngày 30/11, băng đảng ransomware Rook đã công bố tên của nạn nhân đầu tiên là một tổ chức tài chính ở Kazkh, đánh cắp 1123 GB dữ liệu.
Các nhà nghiên cứu tại SentinelLabs đã phân tích phần mềm độc hại và nhận thấy có nhiều sự tương đồng với phần mềm tống tiền Babuk. Chuỗi tấn công bắt đầu bằng các tin nhắn lừa đảo, và các cuộc tấn công của chúng chủ yếu sử dụng khung (framework) của bên thứ ba như Cobalt Strike.
Cũng giống như các loại ransomware khác, Rook yêu cầu tiền chuộc để mở khóa các tệp được mã hóa. Nếu nạn nhân không tuân thủ yêu cầu đòi tiền chuộc chúng đe dọa công khai và làm lộ lọt dữ liệu mà chúng đã trích xuất được.
Phần mềm độc hại được đóng gói bằng trình đóng gói UPX (Ultimate Packer for eXecutable) và sử dụng các chương trình mã hóa để tránh bị phát hiện.
Khi thực thi, Rook nỗ lực ngắt các tiến trình liên quan đến phần mềm bảo mật hoặc ứng dụng khác có thể can thiệp vào quá trình mã hóa và cố gắng xóa các bản sao để ngăn nạn nhân khôi phục từ bản sao lưu để tránh phải trả tiền chuộc.
Theo phân tích của SentinelLabs thì phần mềm tống tiền cố gắng chấm dứt bất kỳ quy trình nào có thể gây trở ngại cho việc mã hóa của chúng. Chúng sử dụng trình điều khiển (như kph.sys) để vô hiệu hóa một số giải pháp bảo mật cục bộ nhất định trên các giao dịch cụ thể.
Các biến thể ban đầu của Rook có thêm phần mở rộng .TOWER, trong khi tất cả các biến thể hiện tại đều sử dụng phần mở rộng .ROOK.
Các chuyên gia nhận thấy nhiều điểm tương đồng về mã giữa Rook và Babuk khi mã nguồn của nó đã bị rò rỉ trên một diễn đàn hack vào tháng 9/2021.
"Babuk và Rook sử dụng API EnumDependentServicesA để truy xuất tên và trạng thái của từng dịch vụ theo chỉ định trước khi chấm dứt. Chúng liệt kê tất cả các dịch vụ trong hệ thống và ngăn chặn tất cả những dịch vụ tồn tại trong danh sách mã hóa cứng trên phần mềm độc hại. Bằng cách sử dụng API OpenSCManagerA, mã nhận trình quản lý và kiểm soát dịch vụ, xử lý và sau đó liệt kê tất cả các dịch vụ trong hệ thống. Ngoài ra, cả Rook và Babuk đều sử dụng các chức năng CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, OpenProcess và TerminaProcess để liệt kê những tiến trình đang chạy và hủy bất kỳ tiến trình nào được tìm thấy cho phù hợp việc đã thực hiện một thao tác trong code tạm thời (hardcoded)."
Với sự sẵn có của mã nguồn từ các vụ rò rỉ như Babuk, các nhà nghiên cứu dự báo sự gia tăng của các nhóm ransomware mới sẽ tiếp tục tiếp diễn. Rook sẽ không phải là phần mềm độc hại cuối cùng mà chúng ta thấy khi mã Babuk bị rò rỉ. Do vậy, các nhóm bảo mật doanh nghiệp sẽ còn nhiều công việc phải bận rộn hơn trong năm tới./.
