Sugar Ransomware

Sugar Ransomware es una poderosa amenaza de malware que se ofrece en un esquema de ransomware como servicio (RaaS). A diferencia de las cepas de ransomware más importantes que existen, Sugar parece estar orientado a infectar a usuarios individuales, en lugar de objetivos corporativos. Otra característica distintiva de la amenaza es su frecuente préstamo de otros grupos de ransomware. Los detalles sobre la amenaza se dieron a conocer en un informe publicado por el equipo de amenazas cibernéticas de Walmart.

Según los hallazgos de los investigadores de infosec, Sugar Ransomware está escrito utilizando el lenguaje de programación Delphi. Sin embargo, en su código utiliza varios objetos tomados de otras familias de ransomware. La pieza de cifrado de archivos de la amenaza tiene una sorprendente similitud con el algoritmo de cifrado SCOP de GPLib, una biblioteca interconectada que contiene procedimientos y funciones relacionadas con el cifrado y descifrado.

La nota de rescate entregada a los sistemas infectados por Sugar Ransomware parece ser en su mayoría idéntica a los mensajes que exigen rescate de las amenazas de REvil Ransomware con la adición de distinciones menores y varios errores ortográficos. En cuanto a la página de descifrado dedicada de la amenaza, parece estar tomando prestada generosamente del sitio web de la amenaza Cl0p.

La característica más interesante que se descubrió durante el análisis de Sugar Ransomware es su criptografía. Utiliza cifrado RC4 modificado, pero, lo que es más importante, partes de su código se pueden encontrar reutilizadas en la rutina de decodificación de cadenas de la propia amenaza de ransomware. Esto llevó a los investigadores a la conclusión de que los creadores de la amenaza y el cifrado pueden ser el mismo grupo de ciberdelincuentes. El criptor también podría ser parte de un servicio que el principal actor de amenazas ofrece a sus afiliados.