Sugar Ransomware

Sugar Ransomware ist eine mächtige Malware-Bedrohung, die in einem Ransomware-as-a-Service (RaaS)-Schema angeboten wird. Im Gegensatz zu den meisten prominenten Ransomware-Stämmen da draußen scheint Sugar darauf ausgerichtet zu sein, einzelne Benutzer zu infizieren, anstatt Unternehmensziele zu infizieren. Ein weiteres Unterscheidungsmerkmal der Bedrohung ist das häufige Ausleihen von anderen Ransomware-Gruppen. Details über die Bedrohung wurden in einem Bericht veröffentlicht, der vom Cyber-Threat-Team von Walmart veröffentlicht wurde.

Nach Erkenntnissen von infosec-Forschern ist die Sugar Ransomware mit der Programmiersprache Delphi geschrieben. In seinem Code verwendet es jedoch verschiedene Objekte aus anderen Ransomware-Familien. Das Dateiverschlüsselungsstück der Bedrohung weist eine verblüffende Ähnlichkeit mit dem SCOP-Verschlüsselungsalgorithmus von GPLib auf, einer Bibliothek mit Schnittstellen, die Verfahren und Funktionen enthält, die sich mit der Verschlüsselung und Entschlüsselung befassen.

Die Lösegeldforderung, die an die mit der Sugar Ransomware infizierten Systeme gesendet wird, scheint größtenteils mit den Lösegeldforderungen der REvil Ransomware- Bedrohungen identisch zu sein, mit geringfügigen Unterschieden und verschiedenen Rechtschreibfehlern. Die dedizierte Entschlüsselungsseite der Bedrohung scheint sich großzügig von der Website der Cl0p-Bedrohung zu leihen.

Das interessanteste Merkmal, das während der Analyse von Sugar Ransomware aufgedeckt wurde, ist der Kryptor. Es verwendet eine modifizierte RC4-Verschlüsselung, aber, was noch wichtiger ist, Teile seines Codes können in der String-Decodierungsroutine der Ransomware-Bedrohung selbst wiederverwendet werden. Dies führte die Forscher zu dem Schluss, dass die Schöpfer der Bedrohung und der Kryptor möglicherweise dieselbe Gruppe von Cyberkriminellen sind. Der Kryptor könnte möglicherweise auch Teil eines Dienstes sein, den der Hauptbedrohungsakteur seinen verbundenen Unternehmen anbietet.