2021 começa com novo ransomware. Chamado Babuk Locker, o ransomware foi descoberto pelo pesquisador Chuong Dong. O ransomware atacou um pequeno número de vítimas corporativas. O resgate exigido pelos criminosos do Babuk Locker varia entre $60,000 e $85,000 em Bitcoin.
“Uma vez que esta é a primeira detecção desse malware à solta, não é surpreendente que Babuk não esteja ofuscado,”Diz Dong em seu relatório. O pesquisador também descreve o ransomware como “padrão,”Usando algumas novas técnicas, como criptografia multi-threading e explorando o Windows Restart Manager como o Revil e Conti gangues.
Criptografia Babuk Locker
De acordo com a análise de engenharia reversa de Dong, o ransomware utiliza sua própria implementação de hashing SHA256 combinada com criptografia ChaCha8, Curva elíptica Diffie – Hellman (Acd ः) geração de chave e algoritmo de troca. O objetivo deste esquema de criptografia é proteger as chaves do ransomware e criptografar arquivos. “Apesar das práticas de codificação amadoras usadas, seu forte esquema de criptografia que utiliza o algoritmo de curva elíptica Diffie-Hellman provou ser eficaz no ataque a muitas empresas até agora,” o pesquisador acrescenta.
O ransomware tem como alvo grandes corporações, em vez de usuários individuais.
Babuk também pode espalhar sua criptografia enumerando os recursos de rede disponíveis, também visto em outros ataques de ransomware. É digno de nota que os autores da ameaça usam uma chave privada para cada amostra Babuk, o que significa que visam principalmente grandes corporações.
"Tão longe, de acordo com o site embutido na nota de resgate, bem como os vazamentos em Raidforums, eles comprometeram com sucesso o grupo BOCA, Spiratex, e Mecol,”O relatório observa.
Detalhes técnicos do Babuk Ransomware
Após a criptografia, o ransomware usa uma extensão codificada que é anexada a cada arquivo criptografado. A extensão atual é .__ NIST_K571__, como visto nas vítimas atuais. A nota de resgate é chamada de “Como restaurar seus arquivos.txt” e criada em cada pasta no sistema comprometido. Tipicamente, o conteúdo da nota de resgate aponta as vítimas para um site Tor onde um resgate é negociado.
Dong acha pouco profissional que os cibercriminosos não tenham removido seu registro de bate-papo com uma das empresas afetadas. A empresa vitimada é uma fabricante italiana de assentos de automóveis, cintos, produtos de automobilismo, e cintos de segurança para militares, aviação, e aplicações aeroespaciais.
Outros pesquisadores relatam que os operadores do Babuk Locker estão vazando dados roubados de suas vítimas para um fórum de hackers. Uma das empresas atacadas pagou um resgate no valor de $85,000.
Vamos ficar de olho no desenvolvimento desta nova campanha de ransomware. Esperançosamente, será encerrado antes que prejudique mais empresas.
Um relatório de setembro, 2019 revelou o vulnerabilidades que os operadores de ransomware usam principalmente em ataques contra organizações. 35% das falhas implantadas nos ataques eram antigas, de 2015 Ou mais cedo, como as vulnerabilidades WannaCry.