Sugar Ransomware

シュガーランサムウェアは、サービスとしてのランサムウェア（RaaS）スキームで提供されている強力なマルウェアの脅威です。世の中で最も有名なランサムウェアとは異なり、Sugarは企業の標的ではなく、個々のユーザーに感染することを目的としているようです。この脅威のもう1つの際立った特徴は、他のランサムウェアグループから頻繁に借用していることです。脅威に関する詳細は、ウォルマートのサイバー脅威チームが発行したレポートで発表されました。

infosecの研究者の調査結果によると、SugarRansomwareはDelphiプログラミング言語を使用して作成されています。ただし、そのコードでは、他のランサムウェアファミリから取得したさまざまなオブジェクトを使用しています。脅威のファイル暗号化部分は、暗号化と復号化を処理するプロシージャと関数を含むインターフェイスライブラリであるGPLibのSCOP暗号化アルゴリズムと非常によく似ています。

シュガーランサムウェアに感染したシステムに配信される身代金メモは、マイナーな区別とさまざまなスペルミスが追加された、 REvilランサムウェア脅威の身代金要求メッセージとほとんど同じように見えます。脅威の専用復号化ページについては、Cl0p脅威のWebサイトから惜しみなく借用しているようです。

シュガーランサムウェアの分析中に明らかになった最も興味深い機能は、そのクリプターです。変更されたRC4暗号化を使用しますが、さらに重要なことに、そのコードの一部は、ランサムウェアの脅威自体の文字列デコードルーチンで再利用されていることがわかります。これにより、研究者たちは、脅威と暗号の作成者が同じサイバー犯罪者のグループである可能性があるという結論に至りました。また、クリプターは、主な脅威アクターがそのアフィリエイトに提供するサービスの一部である可能性もあります。