Sugar Ransomware

Sugar Ransomware est une menace malveillante puissante qui est proposée dans un schéma de ransomware-as-a-service (RaaS). Contrairement à la plupart des souches de ransomwares les plus importantes, Sugar semble être conçu pour infecter des utilisateurs individuels, plutôt que des cibles d'entreprise. Une autre caractéristique distinctive de la menace est son emprunt fréquent à d'autres groupes de rançongiciels. Des détails sur la menace ont été publiés dans un rapport publié par l'équipe de cybermenace de Walmart.

Selon les conclusions des chercheurs d'infosec, le Sugar Ransomware est écrit à l'aide du langage de programmation Delphi. Cependant, dans son code, il utilise divers objets issus d'autres familles de rançongiciels. La pièce de chiffrement de fichiers de la menace présente une similitude frappante avec l'algorithme de chiffrement SCOP de GPLib, une bibliothèque interfacée contenant des procédures et des fonctions traitant du chiffrement et du déchiffrement.

La note de rançon remise aux systèmes infectés par Sugar Ransomware semble être pour la plupart identique aux messages exigeant une rançon des menaces REvil Ransomware avec l'ajout de distinctions mineures et de diverses fautes d'orthographe. Quant à la page dédiée au décrypteur de la menace, elle semble emprunter généreusement au site de la menace Cl0p.

La fonctionnalité la plus intéressante qui a été découverte lors de l'analyse de Sugar Ransomware est son cryptor. Il utilise un cryptage RC4 modifié, mais, plus important encore, des parties de son code peuvent être trouvées réutilisées dans la routine de décodage de chaîne de la menace ransomware elle-même. Cela a conduit les chercheurs à la conclusion que les créateurs de la menace et du cryptor peuvent être le même groupe de cybercriminels. Le crypto-crypteur pourrait également faire partie d'un service que le principal acteur de la menace propose à ses affiliés.