새로운 서비스형 랜섬웨어인 Sugar 발견

Sugar Ransomware, a new RaaS in the threat landscape

 

거대 소매업체인 Walmart의 사이버 위협 팀이 새로운 서비스형 랜섬웨어 패밀리인 Sugar를 분석했습니다.

 

다른 랜섬웨어와는 달리 Sugar는 기업 전체 보다는 주로 개별 컴퓨터에 집중하는 것으로 보입니다. Sugar 악성코드는 2021년 11월 실제 공격에서 처음 발견되었으며, 다른 랜섬웨어 패밀리의 코드를 차용한 Delphi 악성코드입니다.

 

이 새로운 악성코드 패밀리의 가장 흥미로운 컴포넌트 중 하나는 크립터로 수정된 버전의 RC4 알고리즘을 사용하고 악성코드에서 문자열 디코딩의 일부로 크립터의 동일한 루틴을 재사용합니다.

 

이는 Sugar 랜섬웨어와 해당 크립터가 동일한 팀에서 개발되었음을 의미합니다. 또 다른 시나리오에서는 위협 행위자가 계열사 네트워크에 제공하는 크립터를 확인할 수 있습니다.

 

Walmart는 아래와 같이 밝혔습니다.

 

"이 악성코드는 델파이로 작성되었지만, RE 관점에서 흥미로운 부분은 악성코드에서 문자열 디코딩의 일부로 크립터의 동일한 루틴을 재사용했다는 것입니다. 따라서 우리는 개발자가 동일하고 해당 크립터가 아마도 빌드 프로세스의 일부이거나 주요 공격자가 계열사에 제공하는 서비스 중 일부라 추측했습니다.”

 

또한 전문가들은 Sugar와 REvil 랜섬웨어 사이에서 유사점 몇 가지를 발견했으며, 패스워드 복호화 페이지는 Clop의 운영자가 사용하는 것과 유사합니다.

 

또한 전문가들은 암호화/복호화에 사용된 GPLib 라이브러리에서 또 다른 유사점을 발견했습니다.

 

 

<이미지 출처 : https://medium.com/walmartglobaltech/sugar-ransomware-a-new-raas-a5d94d58d9fb>

 

 

또한 연구원들은 이 랜섬웨어에 대한 IoC를 공개했습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Gen:Variant.Barys.232748’로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/127545/malware/sugar-ransomware-a-new-raas-in-the-threat-landscape.html

https://medium.com/walmartglobaltech/sugar-ransomware-a-new-raas-a5d94d58d9fb (IOC)