Babuk Locker內(nèi)部也稱(chēng)為Babyk,是一種勒索軟件操作,于2021年初啟動(dòng), 當(dāng)時(shí)它開(kāi)始針對(duì)企業(yè)在雙重勒索攻擊中竊取和加密他們的數(shù)據(jù)。在襲擊華盛頓特區(qū)的大都會(huì)警察局 (MPD) 并感受到美國(guó)執(zhí)法部門(mén)的壓力后 ,勒索軟件團(tuán)伙聲稱(chēng)已關(guān)閉其業(yè)務(wù)。然而,同一組的成員分裂出來(lái),重新啟動(dòng)勒索軟件Babuk V2,直到今天他們繼續(xù)加密受害者。
在黑客論壇上發(fā)布的源代碼
正如安全研究小組vx-underground首次注意到的那樣 ,Babuk小組的一名據(jù)稱(chēng)成員在一個(gè)流行的俄語(yǔ)黑客論壇上發(fā)布了他們勒索軟件的完整源代碼。
這名成員聲稱(chēng)自己患有晚期癌癥,并決定在他們必須“像人一樣生活”的同時(shí)發(fā)布源代碼。
在黑客論壇上的論壇俄文原帖
由于泄漏包含威脅參與者創(chuàng)建功能性勒索軟件可執(zhí)行文件所需的一切,因此紅數(shù)位已編輯源代碼的鏈接。
共享文件包含適用于VMware ESXi、NAS和Windows加密器的不同Visual Studio Babuk勒索軟件項(xiàng)目,如下所示。
ESXi、NAS和Windows Babuk勒索軟件源代碼
Windows文件夾包含Windows加密器、解密器以及看起來(lái)像是私鑰和公鑰生成器的完整源代碼。
Babuk Windows加密器源代碼
例如,Windows 加密器中加密例程的源代碼可以在下面看到。
Babuk加密例程源碼
Emsisoft首席技術(shù)官和勒索軟件專(zhuān)家Fabian Wosar以及McAfee Enterprise的研究人員都告訴外媒,泄漏似乎是合法的。Wosar還表示,泄漏可能包含過(guò)去受害者的解密密鑰。
Babuk勒索軟件使用橢圓曲線加密 (ECC) 作為其加密程序的一部分。泄漏中包括包含為勒索軟件團(tuán)伙的特定受害者編譯的加密器和解密器的文件夾。
Wosar透露,這些文件夾還包含曲線文件,這些文件可能是這些受害者的ECC解密密鑰,但尚未得到證實(shí)。
Babuk受害者的ECC曲線文件
總共有15個(gè)文件夾,其中包含包含可能的解密密鑰的曲線文件。
分裂和背叛的故事
Babuk Locker有一段骯臟和公開(kāi)的歷史,涉及意見(jiàn)不合和背叛,導(dǎo)致團(tuán)隊(duì)分裂。
Babuk勒索軟件團(tuán)伙的一名成員透露,該團(tuán)伙在華盛頓特區(qū)的大都會(huì)警察局(MPD)遭到襲擊后分裂了。襲擊發(fā)生后,“管理員”據(jù)稱(chēng)想泄露MPD數(shù)據(jù)進(jìn)行宣傳,而其他幫派成員則反對(duì)。
“我們不是好人,但即使對(duì)我們來(lái)說(shuō)也太過(guò)分了。)”——Babuk成員
數(shù)據(jù)泄露后,該組織與最初的管理員分裂,組成了Ramp網(wǎng)絡(luò)犯罪論壇,其余的人則啟動(dòng)了Babuk V2,在那里他們繼續(xù)進(jìn)行勒索軟件攻擊。在管理員啟動(dòng)Ramp網(wǎng)絡(luò)犯罪論壇后不久,它就遭受了一系列DDoS攻擊,使新站點(diǎn)無(wú)法使用。管理員將這些攻擊歸咎于他的前合作伙伴,而B(niǎo)abuk V2團(tuán)隊(duì)說(shuō),他們沒(méi)有責(zé)任不是他們所為。
“我們完全忘記了舊管理員。我們對(duì)他的論壇不感興趣,”威脅行為者透露。
為了增加該組織的爭(zhēng)議,一個(gè)Babuk勒索軟件構(gòu)建器在文件共享站點(diǎn)上被泄露,并被另一個(gè)組織用來(lái)啟動(dòng)他們自己的勒索軟件操作。延伸閱讀:猛增!Babuk泄露勒索構(gòu)建器已被用于新攻擊
似乎Babuk并不是唯一一個(gè)團(tuán)隊(duì)分裂和背叛的故事。
在Wosar設(shè)置了一個(gè)Jabber賬戶供威脅參與者聯(lián)系他之后,他在推特上說(shuō)他收到了威脅參與者的情報(bào),這些參與者感到被合作伙伴“冤枉”并決定泄露信息以進(jìn)行報(bào)復(fù)。
法比安·沃薩爾推特
Wosar透露,他已經(jīng)能夠使用這種情報(bào)來(lái)防止持續(xù)的勒索軟件攻擊。
群魔亂舞,加強(qiáng)安全把控
此前,今年Babuk,Petya,Paradise知名的三大勒索軟件構(gòu)建器源代碼都被泄露或說(shuō)是惡意釋放,而本次泄露的更直接是Babuk勒索軟件完整源代碼??!
全球勒索江湖越發(fā)混亂,如果說(shuō)之前僅僅高端門(mén)檻才能進(jìn)入勒索江湖,今年三大勒索軟件構(gòu)建器源碼和Babuk勒索軟件完整源代碼泄露使得任何想要進(jìn)入勒索軟件領(lǐng)域的潛在犯罪團(tuán)伙都可以輕松創(chuàng)建高級(jí)勒索軟件程序,立刻開(kāi)始非法網(wǎng)絡(luò)犯罪活動(dòng)。面對(duì)威脅,我們還需注意安全把控,加強(qiáng)安全構(gòu)建,在此,只能以“預(yù)警”和建議結(jié)束本篇。
組織應(yīng)實(shí)施以下最佳實(shí)踐以加強(qiáng)其組織系統(tǒng)的安全狀況:
-
檢查使用另一個(gè)進(jìn)程的散列執(zhí)行的標(biāo)準(zhǔn)可執(zhí)行文件的實(shí)例。
-
實(shí)施多因素身份驗(yàn)證 (MFA),特別是對(duì)于特權(quán)賬號(hào)。
-
在不同的管理工作站上使用單獨(dú)的管理帳戶。
-
使用本地管理員密碼解決方案 (LAPS)。
-
允許員工擁有最少的數(shù)據(jù)訪問(wèn)權(quán)限。
-
使用MFA保護(hù)遠(yuǎn)程桌面協(xié)議 (RDP) 和“跳轉(zhuǎn)框”以進(jìn)行訪問(wèn)。
-
通過(guò)部署和維護(hù)端點(diǎn)防御工具來(lái)保護(hù)您的端點(diǎn)。
-
始終保持所有軟件都是最新的。
-
使防病毒病毒庫(kù)和引擎保持最新。
-
除非需要,否則避免將用戶添加到本地管理員組。
-
實(shí)施強(qiáng)密碼策略并強(qiáng)制定期更改密碼。
-
在組織工作站上配置個(gè)人防火墻以拒絕不需要的連接請(qǐng)求。
-
停用組織工作站和服務(wù)器上不必要的服務(wù)。
-
備份!備份!備份!