Эксперты рассказали о вымогательском ПО Babuk

Пн 17 Май 2021 07:56

Команда специалистов Sogeti CERT ESEC Threat Intelligence (CETI) провела анализ деятельности операторов вымогательского ПО Babuk и рассказала, как быстро новая группировка может приспособиться к проведению одиночного, двойного и даже тройного вымогательства. Не менее быстро операторы Babuk перешли на бизнес-модель «вымогательское-ПО-как-услуга», начав нанимать партнеров на подпольных русскоязычных форумах.

В отличие от других вымогателей, участники Babuk размещают рекламные сообщения на английском языке на популярных хакерских форумах. Во вредоносном ПО Babuk также отсутствует так называемая мера безопасности «Kill Switch», которая обычно включается при обнаружении по умолчанию установленных языков Содружества Независимых Государств (СНГ) на атакованных устройствах.

Хакеры создали собственный сайт утечек данных для публикации украденных сведений жертв в рамках стратегии двойного вымогательства. Преступники также опубликовали список компаний и организаций, которые они не будут атаковать, с некоторыми исключениями в виде благотворительных фондов, помогающих BLM и ЛГБТ.

Новый вымогатель поставляется без каких-либо механизмов обфускации исходного кода. Тем не менее, группировка использует надежную схему шифрования, которая почти не может быть взломана. Хакеры применяют самодельный алгоритм SHA256 Chacha8 для шифрования и защищают ключи с помощью ECDH. Babuk может принимать дополнительные параметры командной строки при установке. Если параметры не указаны, будут шифроваться только локальные диски. Операторы Babuk уже успели атаковать организации в сфере здравоохранения, банки, компании в области розничных продаж и транспортные предприятия. Как сообщили в McAfee, атаки затронули компании и организации в Израиле, США, Индии, Люксембурге, Италии, Испании, Южной Африке, Объединенных Арабских Эмиратах, Великобритании, Китае и Германии.

По словам экспертов, преступники используют английский разговорный язык для общения на подпольных форумах. Предположительно, они не являются носителями английского языка, поскольку специалисты выявили несколько орфографических ошибок и неродных выражений.

Диапазон сумм выкупа составляет от $60 тыс. до $85 тыс., и по крайней мере одна жертва согласилась заплатить самую высокую сумму. Каждый образец программы-вымогателя Babuk специально настроен для жертвы с помощью записки о выкупе и URL-ссылки, указывающей на чат для переговоров по оплате.

По оценкам исследователей, если новая группировка продолжит свои целевые атаки такими быстрыми темпами, Babuk может стать серьезной угрозой, как и Egregor, к которому перешли многие филиалы Maze.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 135 дней 16 часов 52 минуты 30 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.