Babuk Locker內(nèi)部也稱為Babyk���,是一種勒索軟件操作,于2021年初啟動(dòng)�, 當(dāng)時(shí)它開(kāi)始針對(duì)企業(yè)在雙重勒索攻擊中竊取和加密他們的數(shù)據(jù)���。在襲擊華盛頓特區(qū)的大都會(huì)警察局 (MPD) 并感受到美國(guó)執(zhí)法部門(mén)的壓力后 ,勒索軟件團(tuán)伙聲稱已關(guān)閉其業(yè)務(wù)�����。然而�,同一組的成員分裂出來(lái),重新啟動(dòng)勒索軟件Babuk V2���,直到今天他們繼續(xù)加密受害者����。
在黑客論壇上發(fā)布的源代碼
正如安全研究小組vx-underground首次注意到的那樣 �,Babuk小組的一名據(jù)稱成員在一個(gè)流行的俄語(yǔ)黑客論壇上發(fā)布了他們勒索軟件的完整源代碼�����。
這名成員聲稱自己患有晚期癌癥�����,并決定在他們必須“像人一樣生活”的同時(shí)發(fā)布源代碼�。
在黑客論壇上的論壇俄文原帖
由于泄漏包含威脅參與者創(chuàng)建功能性勒索軟件可執(zhí)行文件所需的一切�,因此紅數(shù)位已編輯源代碼的鏈接����。
共享文件包含適用于VMware ESXi、NAS和Windows加密器的不同Visual Studio Babuk勒索軟件項(xiàng)目����,如下所示。
ESXi�����、NAS和Windows Babuk勒索軟件源代碼
Windows文件夾包含Windows加密器���、解密器以及看起來(lái)像是私鑰和公鑰生成器的完整源代碼����。
Babuk Windows加密器源代碼
例如,Windows 加密器中加密例程的源代碼可以在下面看到����。
Babuk加密例程源碼
Emsisoft首席技術(shù)官和勒索軟件專家Fabian Wosar以及McAfee Enterprise的研究人員都告訴外媒,泄漏似乎是合法的����。Wosar還表示���,泄漏可能包含過(guò)去受害者的解密密鑰。
Babuk勒索軟件使用橢圓曲線加密 (ECC) 作為其加密程序的一部分���。泄漏中包括包含為勒索軟件團(tuán)伙的特定受害者編譯的加密器和解密器的文件夾�。
Wosar透露����,這些文件夾還包含曲線文件,這些文件可能是這些受害者的ECC解密密鑰�����,但尚未得到證實(shí)�����。
Babuk受害者的ECC曲線文件
總共有15個(gè)文件夾�,其中包含包含可能的解密密鑰的曲線文件�。
分裂和背叛的故事
Babuk Locker有一段骯臟和公開(kāi)的歷史,涉及意見(jiàn)不合和背叛,導(dǎo)致團(tuán)隊(duì)分裂�����。
Babuk勒索軟件團(tuán)伙的一名成員透露�����,該團(tuán)伙在華盛頓特區(qū)的大都會(huì)警察局(MPD)遭到襲擊后分裂了�。襲擊發(fā)生后,“管理員”據(jù)稱想泄露MPD數(shù)據(jù)進(jìn)行宣傳���,而其他幫派成員則反對(duì)���。
“我們不是好人,但即使對(duì)我們來(lái)說(shuō)也太過(guò)分了�����。)”——Babuk成員
數(shù)據(jù)泄露后�,該組織與最初的管理員分裂�,組成了Ramp網(wǎng)絡(luò)犯罪論壇,其余的人則啟動(dòng)了Babuk V2����,在那里他們繼續(xù)進(jìn)行勒索軟件攻擊。在管理員啟動(dòng)Ramp網(wǎng)絡(luò)犯罪論壇后不久���,它就遭受了一系列DDoS攻擊�,使新站點(diǎn)無(wú)法使用����。管理員將這些攻擊歸咎于他的前合作伙伴,而B(niǎo)abuk V2團(tuán)隊(duì)說(shuō)�����,他們沒(méi)有責(zé)任不是他們所為����。
“我們完全忘記了舊管理員。我們對(duì)他的論壇不感興趣���,”威脅行為者透露�。
為了增加該組織的爭(zhēng)議�,一個(gè)Babuk勒索軟件構(gòu)建器在文件共享站點(diǎn)上被泄露,并被另一個(gè)組織用來(lái)啟動(dòng)他們自己的勒索軟件操作���。延伸閱讀:猛增�!Babuk泄露勒索構(gòu)建器已被用于新攻擊
似乎Babuk并不是唯一一個(gè)團(tuán)隊(duì)分裂和背叛的故事����。
在Wosar設(shè)置了一個(gè)Jabber賬戶供威脅參與者聯(lián)系他之后,他在推特上說(shuō)他收到了威脅參與者的情報(bào)����,這些參與者感到被合作伙伴“冤枉”并決定泄露信息以進(jìn)行報(bào)復(fù)。
法比安·沃薩爾推特
Wosar透露�����,他已經(jīng)能夠使用這種情報(bào)來(lái)防止持續(xù)的勒索軟件攻擊���。
群魔亂舞���,加強(qiáng)安全把控
此前,今年Babuk����,Petya�����,Paradise知名的三大勒索軟件構(gòu)建器源代碼都被泄露或說(shuō)是惡意釋放,而本次泄露的更直接是Babuk勒索軟件完整源代碼?���。?
全球勒索江湖越發(fā)混亂���,如果說(shuō)之前僅僅高端門(mén)檻才能進(jìn)入勒索江湖����,今年三大勒索軟件構(gòu)建器源碼和Babuk勒索軟件完整源代碼泄露使得任何想要進(jìn)入勒索軟件領(lǐng)域的潛在犯罪團(tuán)伙都可以輕松創(chuàng)建高級(jí)勒索軟件程序����,立刻開(kāi)始非法網(wǎng)絡(luò)犯罪活動(dòng)����。面對(duì)威脅,我們還需注意安全把控���,加強(qiáng)安全構(gòu)建�����,在此���,只能以“預(yù)警”和建議結(jié)束本篇����。
組織應(yīng)實(shí)施以下最佳實(shí)踐以加強(qiáng)其組織系統(tǒng)的安全狀況:
-
檢查使用另一個(gè)進(jìn)程的散列執(zhí)行的標(biāo)準(zhǔn)可執(zhí)行文件的實(shí)例�。
-
實(shí)施多因素身份驗(yàn)證 (MFA),特別是對(duì)于特權(quán)賬號(hào)���。
-
在不同的管理工作站上使用單獨(dú)的管理帳戶���。
-
使用本地管理員密碼解決方案 (LAPS)。
-
允許員工擁有最少的數(shù)據(jù)訪問(wèn)權(quán)限�����。
-
使用MFA保護(hù)遠(yuǎn)程桌面協(xié)議 (RDP) 和“跳轉(zhuǎn)框”以進(jìn)行訪問(wèn)����。
-
通過(guò)部署和維護(hù)端點(diǎn)防御工具來(lái)保護(hù)您的端點(diǎn)�。
-
始終保持所有軟件都是最新的。
-
使防病毒病毒庫(kù)和引擎保持最新�����。
-
除非需要����,否則避免將用戶添加到本地管理員組。
-
實(shí)施強(qiáng)密碼策略并強(qiáng)制定期更改密碼�����。
-
在組織工作站上配置個(gè)人防火墻以拒絕不需要的連接請(qǐng)求���。
-
停用組織工作站和服務(wù)器上不必要的服務(wù)�。
-
備份�!備份!備份�����!
