天天操人人干,夜夜操夜夜爽,一级片中国,国产成视频

真情服務(wù)  厚德載物
今天是:
聯(lián)系我們

市場部:0564-3227239
技術(shù)部:0564-3227237
財務(wù)部: 0564-3227034
公司郵箱:lachs@126.com
技術(shù)郵箱:cc1982@163.com
地址:六安市淠望路103號

新聞分類
推薦新聞
當(dāng)前位置:首 頁 > 新聞中心 > 業(yè)界動態(tài) > 查看新聞
Babuk Locker:2021年第一個新型企業(yè)級勒索軟件正式上線!
作者:永辰科技  來源:安全客  發(fā)表時間:2021-1-10 17:03:12  點擊:1363

 

事件概述

萬惡的2020剛剛過去,新的一年已經(jīng)到來。但是,“好景不長”!對于網(wǎng)絡(luò)安全生態(tài)系統(tǒng)來說,隨著新年一起到來的還有一款名為Babuk Locker的新型勒索軟件,而這款勒索軟件的主要目標(biāo)是人為網(wǎng)絡(luò)攻擊活動中的一些目標(biāo)用戶或企業(yè)組織。

實際上,Babuk Locker是一個新出現(xiàn)的勒索軟件攻擊活動,該活動于2021年初正式啟動,并且已經(jīng)收集了來自全世界各個國家和地區(qū)的一小部分目標(biāo)用戶名單。

根據(jù)安全研究人員的調(diào)查發(fā)現(xiàn),從Babuk Locker跟目標(biāo)用戶談判的數(shù)據(jù)贖金金額來看,網(wǎng)絡(luò)犯罪分子所要求的數(shù)據(jù)贖金從六萬美金到八萬五千美金不等,支付形式跟以前一樣,還是那個近期出現(xiàn)暴漲的比特幣。

據(jù)悉,目前已經(jīng)有五個已知的受害企業(yè),至少有一個企業(yè)同意支付八萬五千美元的贖金。除此之外,Babuk Locker在黑客論壇上發(fā)帖稱他們很快將啟動一個專門的數(shù)據(jù)泄漏站點。

 

Babuk Locker是如何加密目標(biāo)設(shè)備和數(shù)據(jù)的呢?

BleepingComputer的研究人員在對每一個Babuk Locker可執(zhí)行程序進行分析之后,他們發(fā)現(xiàn)網(wǎng)絡(luò)攻擊者竟然對每一個目標(biāo)用戶都使用的是定制化的Babuk Locker,其中還包含了硬編碼擴展名、數(shù)據(jù)贖金通知以及一條Tor目標(biāo)用戶URL地址。

安全研究專家Chuong Dong也對這款新型的勒索軟件進行了分析,根據(jù)他的發(fā)現(xiàn),Babuk Locker這款勒索軟件的編碼其實是非常業(yè)余的。話雖如此,但這款勒索軟件仍然具備安全加密以及防止目標(biāo)用戶免費恢復(fù)自己文件的功能。

安全研究專家Chuong Dong在其發(fā)布的安全分析報告中說到:“雖然這款勒索軟件的編碼實現(xiàn)方式非常的業(yè)余,但它居然采用了橢圓曲線Diffie-Hellman算法的強加密方案,而這種加密機制迄今已被證明能有效地攻擊許多用戶和公司組織!

當(dāng)Babuk Locker勒索軟件啟動之后,網(wǎng)絡(luò)攻擊者可以使用一個命令行參數(shù)來控制勒索軟件的加密行為,他們可以選擇直接加密網(wǎng)絡(luò)共享文件,或直接加密本地文件系統(tǒng)中的數(shù)據(jù)文件。下面給出的是Babuk Locker勒索軟件控制相關(guān)加密行為的命令行參數(shù):

-lanfirst
-lansecond
-nolan

研究人員通過分析發(fā)現(xiàn),Babuk Locker勒索軟件在啟動之后,會終止目標(biāo)Windows系統(tǒng)中的各種服務(wù)和進程,以確保相關(guān)文件的打開狀態(tài)并防止被加密。在這一步操作中,Babuk Locker勒索軟件會終止的程序包括數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、備份軟件、郵件客戶端和Web瀏覽器等等。

在對目標(biāo)文件進行加密的時候,Babuk Locker勒索軟件會將硬編碼的擴展名追加到每一個被加密的目標(biāo)文件中,具體如下圖所示。當(dāng)前版本的Babuk Locker勒索軟件針對所有目標(biāo)用戶使用的硬編碼擴展名為“.NIST_K571”:


在對目標(biāo)文件系統(tǒng)進行了加密之后,Babuk Locker勒索軟件會在每一個被加密的文件夾中存放一個名為“How To Restore Your Files.txt”的勒索信息文件,這個勒索信息文件中包含了整個勒索攻擊過程中發(fā)生的全部事情的基本信息以及一個指向Tor網(wǎng)站的地址,目標(biāo)用戶需要通過這個Tor站點來跟勒索軟件攻擊者協(xié)商數(shù)據(jù)贖金的具體金額以及支付方式。

BleepingComputer的研究人員在對Babuk Locker勒索軟件進行分析的過程中,發(fā)現(xiàn)有其中一個勒索信息文件中包含了目標(biāo)用戶的姓名,以及攻擊者在攻擊過程中竊取的未加密文件的截圖,并以此作為證據(jù)證明攻擊者已經(jīng)成功對其進行了攻擊。


Babuk Locker勒索軟件的攻擊者用于跟目標(biāo)用戶協(xié)商數(shù)據(jù)贖金的Tor站點比較簡單,只是包含了一個聊天界面,目標(biāo)用戶可以在這個聊天界面中與勒索軟件攻擊者交談并協(xié)商數(shù)據(jù)贖金。在談判的過程中,勒索軟件攻擊者會詢問目標(biāo)用戶是否購買了網(wǎng)絡(luò)保險,或者是否跟勒索軟件數(shù)據(jù)恢復(fù)公司有合作。下圖顯示的是Babuk Locker勒索軟件攻擊者與目標(biāo)用戶的Tor聊天記錄:


Babuk Locker勒索軟件攻擊者還會要求目標(biāo)用戶提供自己的%AppData%\ecdh\u pub\u k.bin文件,而這個文件中包含的是目標(biāo)用戶的橢圓曲線Diffie-Hellman算法的公共密鑰,這個密鑰將允許攻擊者對目標(biāo)用戶的文件進行測試解密或提供解密程序。

但不幸的是,這款勒索軟件所使用的ChaCha8和橢圓曲線Diffie-Hellman(ECDH)算法確保了Babuk Locker勒索軟件的“絕對”安全,因此目前還無法免費解密數(shù)據(jù)。

 

通過黑客論壇來泄露被盜數(shù)據(jù)

在勒索軟件攻擊活動中,一種常見的勒索軟件策略是在加密網(wǎng)絡(luò)設(shè)備之前從目標(biāo)用戶那里竊取未加密的數(shù)據(jù)。勒索軟件攻擊者如果采用的是雙重勒索策略的話,那么如果目標(biāo)用戶拒絕支付贖金,那么他們就會威脅將竊取到的數(shù)據(jù)公之于眾。

在這種情況下,大多數(shù)使用這種策略的勒索軟件活動都會創(chuàng)建一個公開可訪問的勒索軟件數(shù)據(jù)泄漏站點來發(fā)布被盜數(shù)據(jù)。

不過,Babuk Locker勒索軟件目前已經(jīng)在利用黑客論壇來泄露他們成功盜取的數(shù)據(jù)了。目前,已經(jīng)有五個全球范圍內(nèi)都著名的受害者了,其中包括:

1、電梯和自動扶梯公司
2、辦公家具制造商
3、汽車零件制造商
4、醫(yī)療檢測產(chǎn)品制造商
5、美國的一家空調(diào)和供暖公司

而且,其中至少有一個企業(yè)同意支付了八萬五千美元的數(shù)據(jù)贖金。

在這個黑客論壇的其中一篇帖子內(nèi),Babuk Locker勒索軟件背后的攻擊者表示,他們很快便會上線一個專門用于發(fā)布泄露數(shù)據(jù)的網(wǎng)站。

 
 
 
合作伙伴
微軟中國 | 聯(lián)想集團 | IBM | 蘋果電腦 | 浪潮集團 | 惠普中國 | 深信服 | 愛數(shù)軟件 | 華為
六安市永辰科技有限公司 版權(quán)所有 © Copyright 2010-2021 All Rights 六安市淠望路103號 最佳瀏覽效果 IE8或以上瀏覽器
訪問量:2987700    皖I(lǐng)CP備11014188號-1