事件概述
萬惡的2020剛剛過去,新的一年已經(jīng)到來。但是,“好景不長”!對于網(wǎng)絡(luò)安全生態(tài)系統(tǒng)來說,隨著新年一起到來的還有一款名為Babuk Locker的新型勒索軟件,而這款勒索軟件的主要目標是人為網(wǎng)絡(luò)攻擊活動中的一些目標用戶或企業(yè)組織。
實際上,Babuk Locker是一個新出現(xiàn)的勒索軟件攻擊活動,該活動于2021年初正式啟動,并且已經(jīng)收集了來自全世界各個國家和地區(qū)的一小部分目標用戶名單。
根據(jù)安全研究人員的調(diào)查發(fā)現(xiàn),從Babuk Locker跟目標用戶談判的數(shù)據(jù)贖金金額來看,網(wǎng)絡(luò)犯罪分子所要求的數(shù)據(jù)贖金從六萬美金到八萬五千美金不等,支付形式跟以前一樣,還是那個近期出現(xiàn)暴漲的比特幣。
據(jù)悉,目前已經(jīng)有五個已知的受害企業(yè),至少有一個企業(yè)同意支付八萬五千美元的贖金。除此之外,Babuk Locker在黑客論壇上發(fā)帖稱他們很快將啟動一個專門的數(shù)據(jù)泄漏站點。
Babuk Locker是如何加密目標設(shè)備和數(shù)據(jù)的呢?
BleepingComputer的研究人員在對每一個Babuk Locker可執(zhí)行程序進行分析之后,他們發(fā)現(xiàn)網(wǎng)絡(luò)攻擊者竟然對每一個目標用戶都使用的是定制化的Babuk Locker,其中還包含了硬編碼擴展名、數(shù)據(jù)贖金通知以及一條Tor目標用戶URL地址。
安全研究專家Chuong Dong也對這款新型的勒索軟件進行了分析,根據(jù)他的發(fā)現(xiàn),Babuk Locker這款勒索軟件的編碼其實是非常業(yè)余的。話雖如此,但這款勒索軟件仍然具備安全加密以及防止目標用戶免費恢復(fù)自己文件的功能。
安全研究專家Chuong Dong在其發(fā)布的安全分析報告中說到:“雖然這款勒索軟件的編碼實現(xiàn)方式非常的業(yè)余,但它居然采用了橢圓曲線Diffie-Hellman算法的強加密方案,而這種加密機制迄今已被證明能有效地攻擊許多用戶和公司組織。”
當Babuk Locker勒索軟件啟動之后,網(wǎng)絡(luò)攻擊者可以使用一個命令行參數(shù)來控制勒索軟件的加密行為,他們可以選擇直接加密網(wǎng)絡(luò)共享文件,或直接加密本地文件系統(tǒng)中的數(shù)據(jù)文件。下面給出的是Babuk Locker勒索軟件控制相關(guān)加密行為的命令行參數(shù):
-lanfirst
-lansecond
-nolan
研究人員通過分析發(fā)現(xiàn),Babuk Locker勒索軟件在啟動之后,會終止目標Windows系統(tǒng)中的各種服務(wù)和進程,以確保相關(guān)文件的打開狀態(tài)并防止被加密。在這一步操作中,Babuk Locker勒索軟件會終止的程序包括數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、備份軟件、郵件客戶端和Web瀏覽器等等。
在對目標文件進行加密的時候,Babuk Locker勒索軟件會將硬編碼的擴展名追加到每一個被加密的目標文件中,具體如下圖所示。當前版本的Babuk Locker勒索軟件針對所有目標用戶使用的硬編碼擴展名為“.NIST_K571”:
在對目標文件系統(tǒng)進行了加密之后,Babuk Locker勒索軟件會在每一個被加密的文件夾中存放一個名為“How To Restore Your Files.txt”的勒索信息文件,這個勒索信息文件中包含了整個勒索攻擊過程中發(fā)生的全部事情的基本信息以及一個指向Tor網(wǎng)站的地址,目標用戶需要通過這個Tor站點來跟勒索軟件攻擊者協(xié)商數(shù)據(jù)贖金的具體金額以及支付方式。
BleepingComputer的研究人員在對Babuk Locker勒索軟件進行分析的過程中,發(fā)現(xiàn)有其中一個勒索信息文件中包含了目標用戶的姓名,以及攻擊者在攻擊過程中竊取的未加密文件的截圖,并以此作為證據(jù)證明攻擊者已經(jīng)成功對其進行了攻擊。
Babuk Locker勒索軟件的攻擊者用于跟目標用戶協(xié)商數(shù)據(jù)贖金的Tor站點比較簡單,只是包含了一個聊天界面,目標用戶可以在這個聊天界面中與勒索軟件攻擊者交談并協(xié)商數(shù)據(jù)贖金。在談判的過程中,勒索軟件攻擊者會詢問目標用戶是否購買了網(wǎng)絡(luò)保險,或者是否跟勒索軟件數(shù)據(jù)恢復(fù)公司有合作。下圖顯示的是Babuk Locker勒索軟件攻擊者與目標用戶的Tor聊天記錄:
Babuk Locker勒索軟件攻擊者還會要求目標用戶提供自己的%AppData%\ecdh\u pub\u k.bin文件,而這個文件中包含的是目標用戶的橢圓曲線Diffie-Hellman算法的公共密鑰,這個密鑰將允許攻擊者對目標用戶的文件進行測試解密或提供解密程序。
但不幸的是,這款勒索軟件所使用的ChaCha8和橢圓曲線Diffie-Hellman(ECDH)算法確保了Babuk Locker勒索軟件的“絕對”安全,因此目前還無法免費解密數(shù)據(jù)。
通過黑客論壇來泄露被盜數(shù)據(jù)
在勒索軟件攻擊活動中,一種常見的勒索軟件策略是在加密網(wǎng)絡(luò)設(shè)備之前從目標用戶那里竊取未加密的數(shù)據(jù)。勒索軟件攻擊者如果采用的是雙重勒索策略的話,那么如果目標用戶拒絕支付贖金,那么他們就會威脅將竊取到的數(shù)據(jù)公之于眾。
在這種情況下,大多數(shù)使用這種策略的勒索軟件活動都會創(chuàng)建一個公開可訪問的勒索軟件數(shù)據(jù)泄漏站點來發(fā)布被盜數(shù)據(jù)。
不過,Babuk Locker勒索軟件目前已經(jīng)在利用黑客論壇來泄露他們成功盜取的數(shù)據(jù)了。目前,已經(jīng)有五個全球范圍內(nèi)都著名的受害者了,其中包括:
1、電梯和自動扶梯公司
2、辦公家具制造商
3、汽車零件制造商
4、醫(yī)療檢測產(chǎn)品制造商
5、美國的一家空調(diào)和供暖公司
而且,其中至少有一個企業(yè)同意支付了八萬五千美元的數(shù)據(jù)贖金。
在這個黑客論壇的其中一篇帖子內(nèi),Babuk Locker勒索軟件背后的攻擊者表示,他們很快便會上線一個專門用于發(fā)布泄露數(shù)據(jù)的網(wǎng)站。