Штамм Termite ransomware , который атаковал платформу управления цепочками поставок Blue Yonder, оказался новым вариантом программы Babuk. Исследователи обнаружили, что Termite является ребрендингом Babuk. На сайте утечки Termite уже зарегистрировано семь жертв.
Termite Ransomware
При запуске программы Termite вызывает API SetProcessShutdownParameters(0, 0), что позволяет ей завершиться последней при выключении системы. Затем она пытается завершить работу служб на компьютере жертвы, включая такие службы, как veeam, vmms и memtas. После этого программа удаляет все теневые копии с помощью процесса vssadmin.exe и очищает корзину с помощью API SHEmptyRecycleBinA(). Она также собирает системную информацию с помощью API GetSystemInfo().
Далее Termite создает отдельный поток для каждого процессора и генерирует записку с выкупом под названием "How To Restore Your Files.txt", предлагая жертвам посетить сайт onion для получения дополнительной информации. Затем программа шифрует файлы на компьютере жертвы, исключая при этом системные папки и файлы. Шифрование сопровождается добавлением расширения ".termite" к зашифрованным файлам.
Termite ransomware может также распространяться через сетевые ресурсы и пути зараженной машины. Если указан аргумент командной строки "shares", программа использует API NetShareEnum() для поиска общих сетевых ресурсов и шифрования файлов на них. Если указан аргумент "paths", программа использует API GetDriveTypeW() для определения сетевых дисков и шифрует файлы на них. Если ни один из этих аргументов не указан, программа рекурсивно обходит все локальные диски и шифрует файлы.
Termite ransomware также имеет схожие характеристики с Babuk, включая добавление маркера "choung dong looks like hot dog" в конце зашифрованных файлов. Уже зарегистрированы семь жертв атаки на Blue Yonder, однако возможно, что число жертв может увеличиться.
Indicators of Compromise
SHA256
- f0ec54b9dc2e64c214e92b521933cee172283ff5c942cf84fae4ec5b03abab55