Babuk Locker内部也称为Babyk,是一种勒索软件操作,于2021年初启动, 当时它开始针对企业在双重勒索攻击中窃取和加密他们的数据。在袭击华盛顿特区的大都会警察局 (MPD) 并感受到美国执法部门的压力后 ,勒索软件团伙声称已关闭其业务。然而,同一组的成员分裂出来,重新启动勒索软件Babuk V2,直到今天他们继续加密受害者。
在黑客论坛上发布的源代码
正如安全研究小组vx-underground首次注意到的那样 ,Babuk小组的一名据称成员在一个流行的俄语黑客论坛上发布了他们勒索软件的完整源代码。
这名成员声称自己患有晚期癌症,并决定在他们必须“像人一样生活”的同时发布源代码。
在黑客论坛上的论坛俄文原帖
由于泄漏包含威胁参与者创建功能性勒索软件可执行文件所需的一切,因此红数位已编辑源代码的链接。
共享文件包含适用于VMware ESXi、NAS和Windows加密器的不同Visual Studio Babuk勒索软件项目,如下所示。
ESXi、NAS和Windows Babuk勒索软件源代码
Windows文件夹包含Windows加密器、解密器以及看起来像是私钥和公钥生成器的完整源代码。
Babuk Windows加密器源代码
例如,Windows 加密器中加密例程的源代码可以在下面看到。
Babuk加密例程源码
Emsisoft首席技术官和勒索软件专家Fabian Wosar以及McAfee Enterprise的研究人员都告诉外媒,泄漏似乎是合法的。Wosar还表示,泄漏可能包含过去受害者的解密密钥。
Babuk勒索软件使用椭圆曲线加密 (ECC) 作为其加密程序的一部分。泄漏中包括包含为勒索软件团伙的特定受害者编译的加密器和解密器的文件夹。
Wosar透露,这些文件夹还包含曲线文件,这些文件可能是这些受害者的ECC解密密钥,但尚未得到证实。
Babuk受害者的ECC曲线文件
总共有15个文件夹,其中包含包含可能的解密密钥的曲线文件。
分裂和背叛的故事
Babuk Locker有一段肮脏和公开的历史,涉及意见不合和背叛,导致团队分裂。
Babuk勒索软件团伙的一名成员透露,该团伙在华盛顿特区的大都会警察局(MPD)遭到袭击后分裂了。袭击发生后,“管理员”据称想泄露MPD数据进行宣传,而其他帮派成员则反对。
“我们不是好人,但即使对我们来说也太过分了。)”——Babuk成员
数据泄露后,该组织与最初的管理员分裂,组成了Ramp网络犯罪论坛,其余的人则启动了BabukV2,在那里他们继续进行勒索软件攻击。在管理员启动Ramp网络犯罪论坛后不久,它就遭受了一系列DDoS攻击,使新站点无法使用。管理员将这些攻击归咎于他的前合作伙伴,而Babuk V2团队说,他们没有责任不是他们所为。
“我们完全忘记了旧管理员。我们对他的论坛不感兴趣,”威胁行为者透露。
为了增加该组织的争议,一个Babuk勒索软件构建器在文件共享站点上被泄露,并被另一个组织用来启动他们自己的勒索软件操作。延伸阅读:猛增!Babuk泄露勒索构建器已被用于新攻击
似乎Babuk并不是唯一一个团队分裂和背叛的故事。
在Wosar设置了一个Jabber账户供威胁参与者联系他之后,他在推特上说他收到了威胁参与者的情报,这些参与者感到被合作伙伴“冤枉”并决定泄露信息以进行报复。
法比安·沃萨尔推特
Wosar透露,他已经能够使用这种情报来防止持续的勒索软件攻击。
群魔乱舞,加强安全把控
此前,今年Babuk,Petya,Paradise知名的三大勒索软件构建器源代码都被泄露或说是恶意释放,而本次泄露的更直接是Babuk勒索软件完整源代码!!
全球勒索江湖越发混乱,如果说之前仅仅高端门槛才能进入勒索江湖,今年三大勒索软件构建器源码和Babuk勒索软件完整源代码泄露使得任何想要进入勒索软件领域的潜在犯罪团伙都可以轻松创建高级勒索软件程序,立刻开始非法网络犯罪活动。面对威胁,我们还需注意安全把控,加强安全构建,在此,只能以“预警”和建议结束本篇。
组织应实施以下最佳实践以加强其组织系统的安全状况:
-
检查使用另一个进程的散列执行的标准可执行文件的实例。
-
实施多因素身份验证 (MFA),特别是对于特权账号。
-
在不同的管理工作站上使用单独的管理帐户。
-
使用本地管理员密码解决方案 (LAPS)。
-
允许员工拥有最少的数据访问权限。
-
使用MFA保护远程桌面协议 (RDP) 和“跳转框”以进行访问。
-
通过部署和维护端点防御工具来保护您的端点。
-
始终保持所有软件都是最新的。
-
使防病毒病毒库和引擎保持最新。
-
除非需要,否则避免将用户添加到本地管理员组。
-
实施强密码策略并强制定期更改密码。
-
在组织工作站上配置个人防火墙以拒绝不需要的连接请求。
-
停用组织工作站和服务器上不必要的服务。
-
备份!备份!备份!
浙公网安备 33010502006954号 
