Babuk Locker:2021年第一个新型企业级勒索软件正式上线!

360安全客 安全资讯 41414 4

 

事件概述

万恶的2020刚刚过去,新的一年已经到来。但是,“好景不长”!对于网络安全生态系统来说,随着新年一起到来的还有一款名为Babuk Locker的新型勒索软件,而这款勒索软件的主要目标是人为网络攻击活动中的一些目标用户或企业组织。

实际上,Babuk Locker是一个新出现的勒索软件攻击活动,该活动于2021年初正式启动,并且已经收集了来自全世界各个国家和地区的一小部分目标用户名单。

根据安全研究人员的调查发现,从Babuk Locker跟目标用户谈判的数据赎金金额来看,网络犯罪分子所要求的数据赎金从六万美金到八万五千美金不等,支付形式跟以前一样,还是那个近期出现暴涨的比特币。

据悉,目前已经有五个已知的受害企业,至少有一个企业同意支付八万五千美元的赎金。除此之外,Babuk Locker在黑客论坛上发帖称他们很快将启动一个专门的数据泄漏站点。

 

Babuk Locker是如何加密目标设备和数据的呢?

BleepingComputer的研究人员在对每一个Babuk Locker可执行程序进行分析之后,他们发现网络攻击者竟然对每一个目标用户都使用的是定制化的Babuk Locker,其中还包含了硬编码扩展名、数据赎金通知以及一条Tor目标用户URL地址。

安全研究专家Chuong Dong也对这款新型的勒索软件进行了分析,根据他的发现,Babuk Locker这款勒索软件的编码其实是非常业余的。话虽如此,但这款勒索软件仍然具备安全加密以及防止目标用户免费恢复自己文件的功能。

安全研究专家Chuong Dong在其发布的安全分析报告中说到:“虽然这款勒索软件的编码实现方式非常的业余,但它居然采用了椭圆曲线Diffie-Hellman算法的强加密方案,而这种加密机制迄今已被证明能有效地攻击许多用户和公司组织。”

当Babuk Locker勒索软件启动之后,网络攻击者可以使用一个命令行参数来控制勒索软件的加密行为,他们可以选择直接加密网络共享文件,或直接加密本地文件系统中的数据文件。下面给出的是Babuk Locker勒索软件控制相关加密行为的命令行参数:

-lanfirst
-lansecond
-nolan

研究人员通过分析发现,Babuk Locker勒索软件在启动之后,会终止目标Windows系统中的各种服务和进程,以确保相关文件的打开状态并防止被加密。在这一步操作中,Babuk Locker勒索软件会终止的程序包括数据库服务器、邮件服务器、备份软件、邮件客户端和Web浏览器等等。

在对目标文件进行加密的时候,Babuk Locker勒索软件会将硬编码的扩展名追加到每一个被加密的目标文件中,具体如下图所示。当前版本的Babuk Locker勒索软件针对所有目标用户使用的硬编码扩展名为“.NIST_K571”:


在对目标文件系统进行了加密之后,Babuk Locker勒索软件会在每一个被加密的文件夹中存放一个名为“How To Restore Your Files.txt”的勒索信息文件,这个勒索信息文件中包含了整个勒索攻击过程中发生的全部事情的基本信息以及一个指向Tor网站的地址,目标用户需要通过这个Tor站点来跟勒索软件攻击者协商数据赎金的具体金额以及支付方式。

BleepingComputer的研究人员在对Babuk Locker勒索软件进行分析的过程中,发现有其中一个勒索信息文件中包含了目标用户的姓名,以及攻击者在攻击过程中窃取的未加密文件的截图,并以此作为证据证明攻击者已经成功对其进行了攻击。


Babuk Locker勒索软件的攻击者用于跟目标用户协商数据赎金的Tor站点比较简单,只是包含了一个聊天界面,目标用户可以在这个聊天界面中与勒索软件攻击者交谈并协商数据赎金。在谈判的过程中,勒索软件攻击者会询问目标用户是否购买了网络保险,或者是否跟勒索软件数据恢复公司有合作。下图显示的是Babuk Locker勒索软件攻击者与目标用户的Tor聊天记录:


Babuk Locker勒索软件攻击者还会要求目标用户提供自己的%AppData%\ecdh\u pub\u k.bin文件,而这个文件中包含的是目标用户的椭圆曲线Diffie-Hellman算法的公共密钥,这个密钥将允许攻击者对目标用户的文件进行测试解密或提供解密程序。

但不幸的是,这款勒索软件所使用的ChaCha8和椭圆曲线Diffie-Hellman(ECDH)算法确保了Babuk Locker勒索软件的“绝对”安全,因此目前还无法免费解密数据。

 

通过黑客论坛来泄露被盗数据

在勒索软件攻击活动中,一种常见的勒索软件策略是在加密网络设备之前从目标用户那里窃取未加密的数据。勒索软件攻击者如果采用的是双重勒索策略的话,那么如果目标用户拒绝支付赎金,那么他们就会威胁将窃取到的数据公之于众。

在这种情况下,大多数使用这种策略的勒索软件活动都会创建一个公开可访问的勒索软件数据泄漏站点来发布被盗数据。

不过,Babuk Locker勒索软件目前已经在利用黑客论坛来泄露他们成功盗取的数据了。目前,已经有五个全球范围内都著名的受害者了,其中包括:

1、电梯和自动扶梯公司
2、办公家具制造商
3、汽车零件制造商
4、医疗检测产品制造商
5、美国的一家空调和供暖公司

而且,其中至少有一个企业同意支付了八万五千美元的数据赎金。

在这个黑客论坛的其中一篇帖子内,Babuk Locker勒索软件背后的攻击者表示,他们很快便会上线一个专门用于发布泄露数据的网站。

(完)