El ransomware SunCrypt sigue vivo y coleando en 2022

SunCrypt, una operación de ransomware como servicio (RaaS) que alcanzó prominencia a mediados de 2020, aún está activa, aunque sea apenas, ya que sus operadores continúan trabajando para brindar nuevas capacidades a su cepa.

SunCrypt fue uno de los primeros pioneros de la triple extorsión, incluido el cifrado de archivos, la amenaza de publicar datos robados y los ataques DDoS (denegación de servicio distribuido) contra víctimas que no pagan.

A pesar de esto y de la falta de restricciones de orientación ética dentro del programa de afiliados, SunCrypt no ha logrado crecer más que un pequeño RaaS privado de un círculo cerrado de afiliados.

Según un informe de Minerva Labs , este estancamiento no ha impedido que los autores del malware trabajen en una nueva y mejor versión de su cepa, que los analistas analizaron para determinar qué cambió.

Nuevas características de SunCrypt
Las nuevas capacidades de la variante SunCrypt 2022 incluyen la terminación de procesos, la detención de servicios y la limpieza de la máquina para la ejecución de ransomware.

Estas características han existido durante mucho tiempo en otras cepas de ransomware, pero para SunCrypt, son adiciones muy recientes. Como comenta Minerva, esto hace que parezca que todavía está en una fase temprana de desarrollo.

La finalización del proceso incluye procesos con muchos recursos que pueden bloquear el cifrado de archivos de datos abiertos, como WordPad (documentos), SQLWriter (bases de datos) y Outlook (correos electrónicos).

La función de limpieza se activa al final de la rutina de cifrado, mediante dos llamadas a la API para borrar todos los registros. Aunque uno sería suficiente, el autor probablemente usó dos por redundancia. Una vez que se borran todos los registros, el ransomware se elimina del disco usando cmd.exe.


Una de las  características antiguas importantes  retenidas en la versión más reciente es el uso de puertos de finalización de E/S para un cifrado más rápido a través de subprocesos de proceso.

Además, SunCrypt continúa encriptando tanto los volúmenes locales como los recursos compartidos de red, y aún mantiene una lista de permitidos para el directorio de Windows, boot.ini, archivos dll, la papelera de reciclaje y otros elementos que hacen que una computadora no funcione si están encriptados.


Actividad y perspectiva

De acuerdo con las estadísticas de los envíos a ID Ransomware, que brindan una buena idea de la actividad de la variedad de ransomware, SunCrypt aún cifra a las víctimas, pero parece tener una actividad limitada.


El grupo puede estar apuntando a entidades de alto valor y manteniendo en privado las negociaciones del pago del rescate, sin llamar la atención de las fuerzas del orden ni la cobertura de los medios.

Minerva menciona a Migros como una de las víctimas recientes de SunCrypt, la cadena de supermercados más grande de Suiza que emplea a más de 100.000 personas.

En resumen, SunCrypt es sin duda una amenaza real que aún no ha sido descifrada, pero aún está por verse si RaaS se convertirá en algo más significativo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta