Babuk Locker內(nèi)部也稱為Babyk,是一種勒索軟件操作,于2021年初啟動, 當時它開始針對企業(yè)在雙重勒索攻擊中竊取和加密他們的數(shù)據(jù)。在襲擊華盛頓特區(qū)的大都會警察局 (MPD) 并感受到美國執(zhí)法部門的壓力后 ,勒索軟件團伙聲稱已關(guān)閉其業(yè)務(wù)。然而,同一組的成員分裂出來,重新啟動勒索軟件Babuk V2,直到今天他們繼續(xù)加密受害者。
在黑客論壇上發(fā)布的源代碼
正如安全研究小組vx-underground首次注意到的那樣 ,Babuk小組的一名據(jù)稱成員在一個流行的俄語黑客論壇上發(fā)布了他們勒索軟件的完整源代碼。
這名成員聲稱自己患有晚期癌癥,并決定在他們必須“像人一樣生活”的同時發(fā)布源代碼。
在黑客論壇上的論壇俄文原帖
由于泄漏包含威脅參與者創(chuàng)建功能性勒索軟件可執(zhí)行文件所需的一切,因此紅數(shù)位已編輯源代碼的鏈接。
共享文件包含適用于VMware ESXi、NAS和Windows加密器的不同Visual Studio Babuk勒索軟件項目,如下所示。
ESXi、NAS和Windows Babuk勒索軟件源代碼
Windows文件夾包含Windows加密器、解密器以及看起來像是私鑰和公鑰生成器的完整源代碼。
Babuk Windows加密器源代碼
例如,Windows 加密器中加密例程的源代碼可以在下面看到。
Babuk加密例程源碼
Emsisoft首席技術(shù)官和勒索軟件專家Fabian Wosar以及McAfee Enterprise的研究人員都告訴外媒,泄漏似乎是合法的。Wosar還表示,泄漏可能包含過去受害者的解密密鑰。
Babuk勒索軟件使用橢圓曲線加密 (ECC) 作為其加密程序的一部分。泄漏中包括包含為勒索軟件團伙的特定受害者編譯的加密器和解密器的文件夾。
Wosar透露,這些文件夾還包含曲線文件,這些文件可能是這些受害者的ECC解密密鑰,但尚未得到證實。
Babuk受害者的ECC曲線文件
總共有15個文件夾,其中包含包含可能的解密密鑰的曲線文件。
分裂和背叛的故事
Babuk Locker有一段骯臟和公開的歷史,涉及意見不合和背叛,導致團隊分裂。
Babuk勒索軟件團伙的一名成員透露,該團伙在華盛頓特區(qū)的大都會警察局(MPD)遭到襲擊后分裂了。襲擊發(fā)生后,“管理員”據(jù)稱想泄露MPD數(shù)據(jù)進行宣傳,而其他幫派成員則反對。
“我們不是好人,但即使對我們來說也太過分了。)”——Babuk成員
數(shù)據(jù)泄露后,該組織與最初的管理員分裂,組成了Ramp網(wǎng)絡(luò)犯罪論壇,其余的人則啟動了Babuk V2,在那里他們繼續(xù)進行勒索軟件攻擊。在管理員啟動Ramp網(wǎng)絡(luò)犯罪論壇后不久,它就遭受了一系列DDoS攻擊,使新站點無法使用。管理員將這些攻擊歸咎于他的前合作伙伴,而Babuk V2團隊說,他們沒有責任不是他們所為。
“我們完全忘記了舊管理員。我們對他的論壇不感興趣,”威脅行為者透露。
為了增加該組織的爭議,一個Babuk勒索軟件構(gòu)建器在文件共享站點上被泄露,并被另一個組織用來啟動他們自己的勒索軟件操作。延伸閱讀:猛增!Babuk泄露勒索構(gòu)建器已被用于新攻擊
似乎Babuk并不是唯一一個團隊分裂和背叛的故事。
在Wosar設(shè)置了一個Jabber賬戶供威脅參與者聯(lián)系他之后,他在推特上說他收到了威脅參與者的情報,這些參與者感到被合作伙伴“冤枉”并決定泄露信息以進行報復。
法比安·沃薩爾推特
Wosar透露,他已經(jīng)能夠使用這種情報來防止持續(xù)的勒索軟件攻擊。
群魔亂舞,加強安全把控
此前,今年Babuk,Petya,Paradise知名的三大勒索軟件構(gòu)建器源代碼都被泄露或說是惡意釋放,而本次泄露的更直接是Babuk勒索軟件完整源代碼?。?
全球勒索江湖越發(fā)混亂,如果說之前僅僅高端門檻才能進入勒索江湖,今年三大勒索軟件構(gòu)建器源碼和Babuk勒索軟件完整源代碼泄露使得任何想要進入勒索軟件領(lǐng)域的潛在犯罪團伙都可以輕松創(chuàng)建高級勒索軟件程序,立刻開始非法網(wǎng)絡(luò)犯罪活動。面對威脅,我們還需注意安全把控,加強安全構(gòu)建,在此,只能以“預警”和建議結(jié)束本篇。
組織應實施以下最佳實踐以加強其組織系統(tǒng)的安全狀況:
-
檢查使用另一個進程的散列執(zhí)行的標準可執(zhí)行文件的實例。
-
實施多因素身份驗證 (MFA),特別是對于特權(quán)賬號。
-
在不同的管理工作站上使用單獨的管理帳戶。
-
使用本地管理員密碼解決方案 (LAPS)。
-
允許員工擁有最少的數(shù)據(jù)訪問權(quán)限。
-
使用MFA保護遠程桌面協(xié)議 (RDP) 和“跳轉(zhuǎn)框”以進行訪問。
-
通過部署和維護端點防御工具來保護您的端點。
-
始終保持所有軟件都是最新的。
-
使防病毒病毒庫和引擎保持最新。
-
除非需要,否則避免將用戶添加到本地管理員組。
-
實施強密碼策略并強制定期更改密碼。
-
在組織工作站上配置個人防火墻以拒絕不需要的連接請求。
-
停用組織工作站和服務(wù)器上不必要的服務(wù)。
-
備份!備份!備份!