2021 beginnt mit neuer Ransomware. Babuk Locker genannt, Die Ransomware wurde vom Forscher Chuong Dong entdeckt. Die Ransomware hat eine kleine Anzahl von Unternehmensopfern angegriffen. Das von Babuk Locker-Kriminellen geforderte Lösegeld variiert zwischen $60,000 und $85,000 in Bitcoin.
„Da dies die erste Erkennung dieser Malware in freier Wildbahn ist, Es ist nicht verwunderlich, dass Babuk überhaupt nicht verschleiert ist,Sagt Dong in seinem Bericht. Der Forscher beschreibt die Ransomware auch als „Standard,”Verwenden einiger neuer Techniken wie Multithreading-Verschlüsselung und Ausnutzen von Windows Restart Manager wie dem revil und Conti Banden.
Babuk Locker Verschlüsselung
Laut Dongs Reverse Engineering-Analyse, Die Ransomware verwendet eine eigene Implementierung von SHA256-Hashing in Kombination mit ChaCha8-Verschlüsselung, Elliptische Kurve Diffie-Hellman (ECDH) Schlüsselgenerierungs- und Austauschalgorithmus. Der Zweck dieses Verschlüsselungsschemas besteht darin, die Schlüssel der Ransomware zu schützen und Dateien zu verschlüsseln. „Trotz der verwendeten Amateur-Codierungspraktiken, Das starke Verschlüsselungsschema, das den Diffie-Hellman-Algorithmus mit elliptischer Kurve verwendet, hat sich bisher als effektiv erwiesen, um viele Unternehmen anzugreifen," der Forscher fügt.
Die Ransomware richtet sich eher an große Unternehmen als an einzelne Benutzer.
Babuk kann seine Verschlüsselung auch verbreiten, indem er die verfügbaren Netzwerkressourcen auflistet, auch bei anderen Ransomware-Angriffen zu sehen. Es ist bemerkenswert, dass die Bedrohungsautoren für jede Babuk-Stichprobe einen privaten Schlüssel verwenden, Dies bedeutet, dass sie hauptsächlich auf große Unternehmen abzielen.
"Bisher, Laut der in den Lösegeldschein eingebetteten Website sowie den Lecks in den Raidforums, Sie haben die BOCA-Gruppe erfolgreich kompromittiert, Spiratex, und Mecol,”Der Bericht stellt fest.
Technische Details zu Babuk Ransomware
Bei der Verschlüsselung, Die Ransomware verwendet eine fest codierte Erweiterung, die an jede verschlüsselte Datei angehängt wird. Die aktuelle Erweiterung lautet .__ NIST_K571__, wie bei aktuellen Opfern gesehen. Der Lösegeldschein heißt "So stellen Sie Ihre Datei.txt wieder her" und wird in jedem Ordner auf dem gefährdeten System erstellt. Typisch, Der Inhalt des Lösegeldscheins weist die Opfer auf eine Tor-Website hin, auf der ein Lösegeld ausgehandelt wird.
Dong findet es ziemlich unprofessionell, dass die Cyberkriminellen ihr Chat-Protokoll mit einem der betroffenen Unternehmen nicht entfernt haben. Das Opferunternehmen ist ein italienischer Hersteller von Autositzen, Sicherheitsgurt, Motorsportprodukte, und Sicherheitsgurte für das Militär, Luftfahrt, und Luft- und Raumfahrtanwendungen.
Andere Forscher berichten, dass die Betreiber von Babuk Locker Daten, die ihren Opfern gestohlen wurden, an ein Hackerforum weitergeben. Eines der angegriffenen Unternehmen hat ein Lösegeld in Höhe von gezahlt $85,000.
Wir werden die Entwicklung dieser neuen Ransomware-Kampagne im Auge behalten. Hoffentlich, Es wird beendet, bevor es mehr Unternehmen schadet.
Ein Bericht vom September, 2019 enthüllte die Schwachstellen, die Ransomware-Betreiber hauptsächlich bei Angriffen auf Organisationen verwenden. 35% der bei den Angriffen eingesetzten Mängel waren alt, von 2015 oder früher, wie die WannaCry-Schwachstellen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: