2021 commence avec un nouveau ransomware. Appelé Babuk Locker, le ransomware a été découvert par le chercheur Chuong Dong. Le ransomware a attaqué un petit nombre de victimes d'entreprises. La rançon exigée par les criminels de Babuk Locker varie entre $60,000 et $85,000 en Bitcoin.
«Puisqu'il s'agit de la première détection de ce malware dans la nature, il n’est pas surprenant que Babuk ne soit pas du tout obscurci,»Dit Dong dans son rapport. Le chercheur décrit également le ransomware comme «standard,»En utilisant de nouvelles techniques telles que le cryptage multi-thread et en exploitant le Gestionnaire de redémarrage de Windows comme le Revil et Conti gangs.
Cryptage de Babuk Locker
D'après l'analyse de rétro-ingénierie de Dong, le ransomware utilise sa propre implémentation du hachage SHA256 combiné au cryptage ChaCha8, Diffie – Hellman à courbe elliptique (ECDH) algorithme de génération et d'échange de clés. Le but de ce schéma de cryptage est de protéger les clés du ransomware et de crypter les fichiers. «Malgré les pratiques de codage amateur utilisées, son système de cryptage puissant qui utilise l'algorithme Diffie – Hellman à courbe elliptique s'est avéré efficace pour attaquer de nombreuses entreprises jusqu'à présent," le chercheur ajoute.
Le ransomware cible les grandes entreprises plutôt que les utilisateurs individuels.
Babuk peut également diffuser son cryptage en énumérant les ressources réseau disponibles, également vu dans d'autres attaques de ransomware. Il est à noter que les auteurs de menaces utilisent une clé privée pour chaque échantillon Babuk, ce qui signifie qu'ils ciblent principalement les grandes entreprises.
"Jusque là, selon le site Web intégré dans la note de rançon ainsi que les fuites sur Raidforums, ils ont réussi à compromettre le groupe BOCA, Spiratex, et Mecol,"Note le rapport.
Détails techniques de Babuk Ransomware
Sur le chiffrement, le ransomware utilise une extension codée en dur qui est ajoutée à chaque fichier crypté. L'extension actuelle est .__ NIST_K571__, comme on le voit chez les victimes actuelles. La note de rançon est nommée «Comment restaurer vos fichiers.txt» et créée dans chaque dossier sur le système compromis. Typiquement, le contenu de la note de rançon pointe les victimes vers un site Tor où une rançon est négociée.
Dong trouve plutôt peu professionnel que les cybercriminels n'aient pas supprimé leur journal de discussion avec l'une des entreprises concernées. L'entreprise victime est un fabricant italien de sièges d'auto, ceinture de sécurité, produits de sport automobile, et ceintures de sécurité pour les militaires, aviation, et applications aérospatiales.
D'autres chercheurs rapportent que les opérateurs de Babuk Locker divulguent des données volées à leurs victimes vers un forum de hackers. L'une des entreprises attaquées a payé une rançon d'un montant de $85,000.
Nous garderons un œil sur le développement de cette nouvelle campagne de ransomware. avec optimisme, il prendra fin avant qu'il n'endommage plus d'entreprises.
Un rapport de septembre, 2019 a révélé le vulnérabilités que les opérateurs de ransomware utilisent principalement dans les attaques contre les organisations. 35% des failles déployées lors des attaques étaient anciennes, de 2015 ou plus tôt, comme les vulnérabilités WannaCry.