事件概述
萬惡的2020剛剛過去,新的一年已經(jīng)到來。但是,“好景不長”!對于網(wǎng)絡(luò)安全生態(tài)系統(tǒng)來說,隨著新年一起到來的還有一款名為Babuk Locker的新型勒索軟件,而這款勒索軟件的主要目標(biāo)是人為網(wǎng)絡(luò)攻擊活動中的一些目標(biāo)用戶或企業(yè)組織。
實際上,Babuk Locker是一個新出現(xiàn)的勒索軟件攻擊活動,該活動于2021年初正式啟動,并且已經(jīng)收集了來自全世界各個國家和地區(qū)的一小部分目標(biāo)用戶名單。
根據(jù)安全研究人員的調(diào)查發(fā)現(xiàn),從Babuk Locker跟目標(biāo)用戶談判的數(shù)據(jù)贖金金額來看,網(wǎng)絡(luò)犯罪分子所要求的數(shù)據(jù)贖金從六萬美金到八萬五千美金不等,支付形式跟以前一樣,還是那個近期出現(xiàn)暴漲的比特幣。
據(jù)悉,目前已經(jīng)有五個已知的受害企業(yè),至少有一個企業(yè)同意支付八萬五千美元的贖金。除此之外,Babuk Locker在黑客論壇上發(fā)帖稱他們很快將啟動一個專門的數(shù)據(jù)泄漏站點。
Babuk Locker是如何加密目標(biāo)設(shè)備和數(shù)據(jù)的呢?
BleepingComputer的研究人員在對每一個Babuk Locker可執(zhí)行程序進行分析之后,他們發(fā)現(xiàn)網(wǎng)絡(luò)攻擊者竟然對每一個目標(biāo)用戶都使用的是定制化的Babuk Locker,其中還包含了硬編碼擴展名、數(shù)據(jù)贖金通知以及一條Tor目標(biāo)用戶URL地址。
安全研究專家Chuong Dong也對這款新型的勒索軟件進行了分析,根據(jù)他的發(fā)現(xiàn),Babuk Locker這款勒索軟件的編碼其實是非常業(yè)余的。話雖如此,但這款勒索軟件仍然具備安全加密以及防止目標(biāo)用戶免費恢復(fù)自己文件的功能。
安全研究專家Chuong Dong在其發(fā)布的安全分析報告中說到:“雖然這款勒索軟件的編碼實現(xiàn)方式非常的業(yè)余,但它居然采用了橢圓曲線Diffie-Hellman算法的強加密方案,而這種加密機制迄今已被證明能有效地攻擊許多用戶和公司組織!
當(dāng)Babuk Locker勒索軟件啟動之后,網(wǎng)絡(luò)攻擊者可以使用一個命令行參數(shù)來控制勒索軟件的加密行為,他們可以選擇直接加密網(wǎng)絡(luò)共享文件,或直接加密本地文件系統(tǒng)中的數(shù)據(jù)文件。下面給出的是Babuk Locker勒索軟件控制相關(guān)加密行為的命令行參數(shù):
-lanfirst
-lansecond
-nolan
研究人員通過分析發(fā)現(xiàn),Babuk Locker勒索軟件在啟動之后,會終止目標(biāo)Windows系統(tǒng)中的各種服務(wù)和進程,以確保相關(guān)文件的打開狀態(tài)并防止被加密。在這一步操作中,Babuk Locker勒索軟件會終止的程序包括數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、備份軟件、郵件客戶端和Web瀏覽器等等。
在對目標(biāo)文件進行加密的時候,Babuk Locker勒索軟件會將硬編碼的擴展名追加到每一個被加密的目標(biāo)文件中,具體如下圖所示。當(dāng)前版本的Babuk Locker勒索軟件針對所有目標(biāo)用戶使用的硬編碼擴展名為“.NIST_K571”:
在對目標(biāo)文件系統(tǒng)進行了加密之后,Babuk Locker勒索軟件會在每一個被加密的文件夾中存放一個名為“How To Restore Your Files.txt”的勒索信息文件,這個勒索信息文件中包含了整個勒索攻擊過程中發(fā)生的全部事情的基本信息以及一個指向Tor網(wǎng)站的地址,目標(biāo)用戶需要通過這個Tor站點來跟勒索軟件攻擊者協(xié)商數(shù)據(jù)贖金的具體金額以及支付方式。
BleepingComputer的研究人員在對Babuk Locker勒索軟件進行分析的過程中,發(fā)現(xiàn)有其中一個勒索信息文件中包含了目標(biāo)用戶的姓名,以及攻擊者在攻擊過程中竊取的未加密文件的截圖,并以此作為證據(jù)證明攻擊者已經(jīng)成功對其進行了攻擊。
Babuk Locker勒索軟件的攻擊者用于跟目標(biāo)用戶協(xié)商數(shù)據(jù)贖金的Tor站點比較簡單,只是包含了一個聊天界面,目標(biāo)用戶可以在這個聊天界面中與勒索軟件攻擊者交談并協(xié)商數(shù)據(jù)贖金。在談判的過程中,勒索軟件攻擊者會詢問目標(biāo)用戶是否購買了網(wǎng)絡(luò)保險,或者是否跟勒索軟件數(shù)據(jù)恢復(fù)公司有合作。下圖顯示的是Babuk Locker勒索軟件攻擊者與目標(biāo)用戶的Tor聊天記錄:
Babuk Locker勒索軟件攻擊者還會要求目標(biāo)用戶提供自己的%AppData%\ecdh\u pub\u k.bin文件,而這個文件中包含的是目標(biāo)用戶的橢圓曲線Diffie-Hellman算法的公共密鑰,這個密鑰將允許攻擊者對目標(biāo)用戶的文件進行測試解密或提供解密程序。
但不幸的是,這款勒索軟件所使用的ChaCha8和橢圓曲線Diffie-Hellman(ECDH)算法確保了Babuk Locker勒索軟件的“絕對”安全,因此目前還無法免費解密數(shù)據(jù)。
通過黑客論壇來泄露被盜數(shù)據(jù)
在勒索軟件攻擊活動中,一種常見的勒索軟件策略是在加密網(wǎng)絡(luò)設(shè)備之前從目標(biāo)用戶那里竊取未加密的數(shù)據(jù)。勒索軟件攻擊者如果采用的是雙重勒索策略的話,那么如果目標(biāo)用戶拒絕支付贖金,那么他們就會威脅將竊取到的數(shù)據(jù)公之于眾。
在這種情況下,大多數(shù)使用這種策略的勒索軟件活動都會創(chuàng)建一個公開可訪問的勒索軟件數(shù)據(jù)泄漏站點來發(fā)布被盜數(shù)據(jù)。
不過,Babuk Locker勒索軟件目前已經(jīng)在利用黑客論壇來泄露他們成功盜取的數(shù)據(jù)了。目前,已經(jīng)有五個全球范圍內(nèi)都著名的受害者了,其中包括:
1、電梯和自動扶梯公司
2、辦公家具制造商
3、汽車零件制造商
4、醫(yī)療檢測產(chǎn)品制造商
5、美國的一家空調(diào)和供暖公司
而且,其中至少有一個企業(yè)同意支付了八萬五千美元的數(shù)據(jù)贖金。
在這個黑客論壇的其中一篇帖子內(nèi),Babuk Locker勒索軟件背后的攻擊者表示,他們很快便會上線一個專門用于發(fā)布泄露數(shù)據(jù)的網(wǎng)站。