Rook ransomware

ルークといってもチェスの話ではありません。
新しいランサムウエア攻撃オペレーターです。

すでにいくつかの組織が彼らのターゲットとなってしまいました。
その現場で観測されたサンプルから、彼らの道具の様子がわかってきています。

• フィッシングメールやアレなもののトレントでのダウンロードから始まる
• Rookのペイロードは、Cobalt Strikeで配信される
• ペイロードには、検出を回避するのに役立つUPXまたはその他のクリプターが含まれる
  UPXは、Ultimate Packer for eXecutablesです。
  様々なOSのファイル形式に対応したFLOSSの実行ファイル圧縮ソフトウェアで、オープンソースで開発されています。
  UPXは圧縮機構と解凍機構を持つのですが、解凍機能のなかにイン・プレース手法も含まれています。
  イン・プレース手法は、メモリ上へ実行ファイルの解凍を行うことができるものです。
• 邪魔なものは停止する
  マルウェアの活動を阻害する可能性のあるセキュリティツールなどに関連するプロセスを終了させようとします。
• ボリュームシャドウコピーを削除する
  被害者の救済機能を減らします。
• 自動消滅する
  このマルウェアは永続化する機能を含みません。
  オンメモリで活動し、暗号化が終了するとマルウェア自身は終了します。
  オンメモリですから終了するとシステムから消えることとなります。

Rookは新しいオペレーターなのですが、その道具は、内部構造的に見て既知のものに類似点が多く確認されています。
ここでいう既知のものとは、Babukです。
2021年9月にBabukのすべてのソースコードが公開されました。
Rookの内部を見ると、いくつもの点でBabukと共通点があります。
亜種と呼べるほどの類似性ではないのですが、明らかにソースコードを参照して作られたと考えないと説明がつかないような類似性がある部分があります。
BabukはRaaSとしては機能しなくなったといえますが、最後に大きな爆弾を落としていったという感じでしょうか。

Rookはアフィリエイトを募集中です。
どんなアフィリエイトが参加するのかによっては、今後の大きな脅威の一つになるかもしれません。

敵を知り、日々の正しい運用を継続し、こういった脅威への耐性が低くならないようにしたいものです。

参考記事（外部リンク）：Rook ransomware is yet another spawn of the leaked Babuk
code
www.bleepingcomputer.com/news/security/rook-ransomware-is-yet-another-spawn-of-the-leaked-babuk-code/