2021 inizia con un nuovo ransomware. Chiamato Babuk Locker, il ransomware è stato scoperto dal ricercatore Chuong Dong. Il ransomware ha attaccato un piccolo numero di vittime aziendali. Il riscatto richiesto dai criminali di Babuk Locker varia tra $60,000 e $85,000 in Bitcoin.
"Poiché questo è il primo rilevamento di questo malware in natura, non sorprende che Babuk non sia affatto offuscato,"Dice Dong nel suo rapporto. Il ricercatore descrive anche il ransomware come "standard,"Utilizzando alcune nuove tecniche come la crittografia multi-threading e sfruttando Windows Restart Manager come il Revil e Conti bande.
Crittografia Babuk Locker
Secondo l'analisi di reverse engineering di Dong, il ransomware utilizza la propria implementazione dell'hashing SHA256 combinato con la crittografia ChaCha8, Diffie-Hellman a curva ellittica (ECDH) generazione di chiavi e algoritmo di scambio. Lo scopo di questo schema di crittografia è proteggere le chiavi del ransomware e crittografare i file. “Nonostante le pratiche di codifica amatoriali utilizzate, il suo potente schema di crittografia che utilizza l'algoritmo Diffie-Hellman a curva ellittica si è dimostrato efficace nell'attaccare molte aziende finora," il ricercatore aggiunge.
Il ransomware prende di mira grandi aziende piuttosto che singoli utenti.
Babuk può anche diffondere la sua crittografia enumerando le risorse di rete disponibili, visto anche in altri attacchi ransomware. È interessante notare che gli autori della minaccia utilizzano una chiave privata per ogni campione Babuk, il che significa che si rivolgono principalmente a grandi aziende.
"Finora, secondo il sito web incorporato nella richiesta di riscatto e le fughe di notizie su Raidforum, hanno compromesso con successo il gruppo BOCA, Spiratex, e Mecol,"Osserva il rapporto.
Babuk Ransomware Dettagli tecnici
Al momento la crittografia, il ransomware utilizza un'estensione hardcoded che viene aggiunta a ogni file crittografato. L'estensione attuale è .__ NIST_K571__, come si è visto nelle vittime attuali. La richiesta di riscatto è denominata "How To Restore Your Files.txt" e creata in ogni cartella sul sistema compromesso. Tipicamente, il contenuto della richiesta di riscatto indirizza le vittime a un sito Tor dove viene negoziato un riscatto.
Dong ritiene piuttosto poco professionale che i criminali informatici non abbiano rimosso il loro registro chat con una delle società interessate. L'azienda vittima è un produttore italiano di seggiolini per auto, cinture di sicurezza, prodotti per sport motoristici, e cinture di sicurezza per militari, aviazione, e applicazioni aerospaziali.
Altri ricercatori riferiscono che gli operatori di Babuk Locker stanno divulgando i dati rubati alle loro vittime a un forum di hacker. Una delle imprese attaccate ha pagato un riscatto per un importo di $85,000.
Terremo d'occhio lo sviluppo di questa nuova campagna ransomware. Fiduciosamente, finirà prima di danneggiare altre imprese.
Un reportage di settembre, 2019 ha rivelato il vulnerabilità gli operatori di ransomware utilizzano principalmente negli attacchi contro le organizzazioni. 35% dei difetti dispiegati negli attacchi erano vecchi, da parte di 2015 o versioni precedenti, come le vulnerabilità di WannaCry.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: