2021 begint met nieuwe ransomware. Hij heeft Babuk Locker gebeld, de ransomware werd ontdekt door onderzoeker Chuong Dong. De ransomware heeft een klein aantal zakelijke slachtoffers aangevallen. Het losgeld dat door criminelen van Babuk Locker wordt geëist, varieert tussen $60,000 en $85,000 in Bitcoin.
“Omdat dit de eerste detectie van deze malware in het wild is, het is niet verwonderlijk dat Babuk helemaal niet versluierd is,”Zegt Dong in zijn rapport. De onderzoeker omschrijft de ransomware ook als “standaard”,”Met behulp van een aantal nieuwe technieken, zoals multi-threading-codering en het exploiteren van Windows Restart Manager zoals de revil en Conti bendes.
Babuk Locker-codering
Volgens de reverse engineering-analyse van Dong, de ransomware gebruikt zijn eigen implementatie van SHA256-hashing in combinatie met ChaCha8-codering, Elliptische curve Diffie-Hellman (ECDH) algoritme voor het genereren en uitwisselen van sleutels. Het doel van dit versleutelingsschema is om de sleutels van de ransomware te beschermen en bestanden te versleutelen. “Ondanks de gebruikte amateurcoderingspraktijken, het sterke versleutelingsschema dat gebruikmaakt van het Elliptic-curve Diffie-Hellman-algoritme is tot nu toe effectief gebleken bij het aanvallen van veel bedrijven," voegt de onderzoeker toe.
De ransomware is gericht op grote bedrijven in plaats van op individuele gebruikers.
Babuk kan zijn codering ook verspreiden door de beschikbare netwerkbronnen op te sommen, ook gezien in andere ransomware-aanvallen. Het is opmerkelijk dat de auteurs van de bedreiging één privésleutel gebruiken voor elk Babuk-monster, wat betekent dat ze zich voornamelijk richten op grote bedrijven.
"Tot dusver, volgens de website die is ingesloten in de losgeldbrief en de lekken op Raidforums, ze hebben met succes de BOCA-groep gecompromitteerd, Spiratex, en Mecol,”Merkt het rapport op.
Babuk Ransomware technische details
Bij encryptie, de ransomware gebruikt een hardgecodeerde extensie die aan elk gecodeerd bestand wordt toegevoegd. De huidige extensie is .__ NIST_K571__, zoals gezien bij huidige slachtoffers. De losgeldbrief heet "How To Restore Your Files.txt" en wordt aangemaakt in elke map op het gecompromitteerde systeem. Typisch, de inhoud van het losgeldbriefje verwijst slachtoffers naar een Tor-site waar over losgeld wordt onderhandeld.
Dong vindt het nogal onprofessioneel dat de cybercriminelen hun chatlogboek bij een van de getroffen bedrijven niet hebben verwijderd. Het slachtofferbedrijf is een Italiaanse fabrikant van autostoelen, Veiligheidsriemen, motorsport producten, en veiligheidsgordels voor militairen, luchtvaart, en ruimtevaarttoepassingen.
Andere onderzoekers melden dat de Babuk Locker-operators gestolen gegevens van hun slachtoffers naar een hackerforum lekken. Een van de aangevallen ondernemingen heeft losgeld betaald ter waarde van $85,000.
We zullen de ontwikkeling van deze nieuwe ransomwarecampagne in de gaten houden. Hopelijk, het zal worden beëindigd voordat het meer ondernemingen schade berokkent.
Een rapport van september, 2019 onthulde de kwetsbaarheden die ransomware-operators meestal gebruiken bij aanvallen op organisaties. 35% van de gebreken die bij de aanslagen werden gebruikt, waren oud, van 2015 of eerder, zoals de WannaCry-kwetsbaarheden.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: