Payload ransomware
A DERP Research elemzése egy új Payload ransomware-mintát vizsgál, amely a Babuk ransomware kiszivárgott forráskódjára épülő variáns. A kutatás szerint a kártevő technikai felépítése nagyrészt a 2021-ben kiszivárgott Babuk kódra támaszkodik, amelyet a támadók módosítottak és új funkciókkal egészítettek ki. A Babuk forráskód nyilvánosságra kerülése után számos csoport kezdett saját ransomware-változatot fejleszteni belőle, ami jelentős mutációs hatást okozott a ransomware-ökoszisztémában.
A Payload ransomware működése a klasszikus vállalati ransomware-modellhez hasonló. A támadás során a malware a kompromittált rendszeren fájlok titkosítását hajtja végre, majd váltságdíjat követel a visszafejtésért. A Babuk örökségéhez hasonlóan a kártevő modern kriptográfiai algoritmusokat használ a fájlok titkosítására, és a kulcsokat aszimmetrikus módszerrel védi, így a fájlok helyreállítása a támadók privát kulcsa nélkül gyakorlatilag lehetetlen.
A kutatás egyik fontos megállapítása, hogy a Payload ransomware nem teljesen új fejlesztés, hanem Babuk-alapú derivatív, amelyet a támadók a kiszivárgott kód újrafelhasználásával hoztak létre. Az ilyen derivatív malware-ek gyakran kisebb módosításokkal jelennek meg, miközben a kód alapstruktúrája változatlan marad.
