安全動(dòng)態(tài)

突發(fā)!Babuk勒索軟件完整源代碼泄露

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-09-06    瀏覽次數(shù):
 

信息來(lái)源:安全內(nèi)參


一名黑客在俄語(yǔ)黑客論壇上泄露了Babuk勒索軟件的完整源代碼!

Babuk Locker內(nèi)部也稱(chēng)為Babyk,是一種勒索軟件操作,于2021年初啟動(dòng), 當(dāng)時(shí)它開(kāi)始針對(duì)企業(yè)在雙重勒索攻擊中竊取和加密他們的數(shù)據(jù)。在襲擊華盛頓特區(qū)的大都會(huì)警察局 (MPD) 并感受到美國(guó)執(zhí)法部門(mén)的壓力后 ,勒索軟件團(tuán)伙聲稱(chēng)已關(guān)閉其業(yè)務(wù)。然而,同一組的成員分裂出來(lái),重新啟動(dòng)勒索軟件Babuk V2,直到今天他們繼續(xù)加密受害者。

在黑客論壇上發(fā)布的源代碼

正如安全研究小組vx-underground首次注意到的那樣 ,Babuk小組的一名據(jù)稱(chēng)成員在一個(gè)流行的俄語(yǔ)黑客論壇上發(fā)布了他們勒索軟件的完整源代碼。

這名成員聲稱(chēng)自己患有晚期癌癥,并決定在他們必須“像人一樣生活”的同時(shí)發(fā)布源代碼。

在黑客論壇上的論壇俄文原帖

由于泄漏包含威脅參與者創(chuàng)建功能性勒索軟件可執(zhí)行文件所需的一切,因此紅數(shù)位已編輯源代碼的鏈接。

共享文件包含適用于VMware ESXi、NAS和Windows加密器的不同Visual Studio Babuk勒索軟件項(xiàng)目,如下所示。

ESXi、NAS和Windows Babuk勒索軟件源代碼

Windows文件夾包含Windows加密器、解密器以及看起來(lái)像是私鑰和公鑰生成器的完整源代碼。

Babuk Windows加密器源代碼

例如,Windows 加密器中加密例程的源代碼可以在下面看到。

Babuk加密例程源碼

Emsisoft首席技術(shù)官和勒索軟件專(zhuān)家Fabian Wosar以及McAfee Enterprise的研究人員都告訴外媒,泄漏似乎是合法的。Wosar還表示,泄漏可能包含過(guò)去受害者的解密密鑰。

Babuk勒索軟件使用橢圓曲線加密 (ECC) 作為其加密程序的一部分。泄漏中包括包含為勒索軟件團(tuán)伙的特定受害者編譯的加密器和解密器的文件夾。

Wosar透露,這些文件夾還包含曲線文件,這些文件可能是這些受害者的ECC解密密鑰,但尚未得到證實(shí)。

Babuk受害者的ECC曲線文件

總共有15個(gè)文件夾,其中包含包含可能的解密密鑰的曲線文件。

分裂和背叛的故事

Babuk Locker有一段骯臟和公開(kāi)的歷史,涉及意見(jiàn)不合和背叛,導(dǎo)致團(tuán)隊(duì)分裂。

Babuk勒索軟件團(tuán)伙的一名成員透露,該團(tuán)伙在華盛頓特區(qū)的大都會(huì)警察局(MPD)遭到襲擊后分裂了。襲擊發(fā)生后,“管理員”據(jù)稱(chēng)想泄露MPD數(shù)據(jù)進(jìn)行宣傳,而其他幫派成員則反對(duì)。

“我們不是好人,但即使對(duì)我們來(lái)說(shuō)也太過(guò)分了。)”——Babuk成員

數(shù)據(jù)泄露后,該組織與最初的管理員分裂,組成了Ramp網(wǎng)絡(luò)犯罪論壇,其余的人則啟動(dòng)了Babuk V2,在那里他們繼續(xù)進(jìn)行勒索軟件攻擊。在管理員啟動(dòng)Ramp網(wǎng)絡(luò)犯罪論壇后不久,它就遭受了一系列DDoS攻擊,使新站點(diǎn)無(wú)法使用。管理員將這些攻擊歸咎于他的前合作伙伴,而B(niǎo)abuk V2團(tuán)隊(duì)說(shuō),他們沒(méi)有責(zé)任不是他們所為。

“我們完全忘記了舊管理員。我們對(duì)他的論壇不感興趣,”威脅行為者透露。

為了增加該組織的爭(zhēng)議,一個(gè)Babuk勒索軟件構(gòu)建器在文件共享站點(diǎn)上被泄露,并被另一個(gè)組織用來(lái)啟動(dòng)他們自己的勒索軟件操作。延伸閱讀:猛增!Babuk泄露勒索構(gòu)建器已被用于新攻擊

似乎Babuk并不是唯一一個(gè)團(tuán)隊(duì)分裂和背叛的故事。

在Wosar設(shè)置了一個(gè)Jabber賬戶供威脅參與者聯(lián)系他之后,他在推特上說(shuō)他收到了威脅參與者的情報(bào),這些參與者感到被合作伙伴“冤枉”并決定泄露信息以進(jìn)行報(bào)復(fù)。

法比安·沃薩爾推特

Wosar透露,他已經(jīng)能夠使用這種情報(bào)來(lái)防止持續(xù)的勒索軟件攻擊。

群魔亂舞,加強(qiáng)安全把控

此前,今年Babuk,Petya,Paradise知名的三大勒索軟件構(gòu)建器源代碼都被泄露或說(shuō)是惡意釋放,而本次泄露的更直接是Babuk勒索軟件完整源代碼??!

全球勒索江湖越發(fā)混亂,如果說(shuō)之前僅僅高端門(mén)檻才能進(jìn)入勒索江湖,今年三大勒索軟件構(gòu)建器源碼和Babuk勒索軟件完整源代碼泄露使得任何想要進(jìn)入勒索軟件領(lǐng)域的潛在犯罪團(tuán)伙都可以輕松創(chuàng)建高級(jí)勒索軟件程序,立刻開(kāi)始非法網(wǎng)絡(luò)犯罪活動(dòng)。面對(duì)威脅,我們還需注意安全把控,加強(qiáng)安全構(gòu)建,在此,只能以“預(yù)警”和建議結(jié)束本篇。

組織應(yīng)實(shí)施以下最佳實(shí)踐以加強(qiáng)其組織系統(tǒng)的安全狀況:

  • 檢查使用另一個(gè)進(jìn)程的散列執(zhí)行的標(biāo)準(zhǔn)可執(zhí)行文件的實(shí)例。

  • 實(shí)施多因素身份驗(yàn)證 (MFA),特別是對(duì)于特權(quán)賬號(hào)。

  • 在不同的管理工作站上使用單獨(dú)的管理帳戶。

  • 使用本地管理員密碼解決方案 (LAPS)。

  • 允許員工擁有最少的數(shù)據(jù)訪問(wèn)權(quán)限。

  • 使用MFA保護(hù)遠(yuǎn)程桌面協(xié)議 (RDP) 和“跳轉(zhuǎn)框”以進(jìn)行訪問(wèn)。

  • 通過(guò)部署和維護(hù)端點(diǎn)防御工具來(lái)保護(hù)您的端點(diǎn)。

  • 始終保持所有軟件都是最新的。

  • 使防病毒病毒庫(kù)和引擎保持最新。

  • 除非需要,否則避免將用戶添加到本地管理員組。

  • 實(shí)施強(qiáng)密碼策略并強(qiáng)制定期更改密碼。

  • 在組織工作站上配置個(gè)人防火墻以拒絕不需要的連接請(qǐng)求。

  • 停用組織工作站和服務(wù)器上不必要的服務(wù)。

  • 備份!備份!備份!


 
 

上一篇:2021年9月2日聚銘安全速遞

下一篇:WhatsApp圖片過(guò)濾功能中存在高危漏洞,可致程序崩潰