En ny rapport från McAfee Advanced Threat Research belyser Babuk-ransomware-gänget, som nyligen meddelade att det skulle utveckla en plattformsoberoende binär riktad mot Linux/UNIX och ESXi eller VMware-system.
“Med tanke på den dåliga utformningen av sin ransomware bör ett stort antal offer räddas från att helt förlora sina data när de attackeras av Babuk. Som nämnts i föregående avsnitt har Northwave sett hotaktörer långsamt flytta från ett system som utpressar offer genom att kryptera sina data mot ett dubbel-utpressningssystem där hotaktörerna både krypterar offrets data och exfiltrerar det också.Det är intressant att se hotaktörer nu gå mot ett system där deras enda källa till press för att utpressa offer är exfiltrering av känsliga data. “
Babuk -teamet började läcka data och släppte först källkoden för Cyberpunk 2077 -spelet i maj. Men efter det blev gänget mörkt igen, enligt rapporten.
Studien diskuterar också Babuk -dekrypteraren, som Seret och Keijzer sa att har en gräns för det maximala antalet byte som kommer att dekryptera, “vilket är konstigt.”
“Sammantaget är dekrypteraren dålig eftersom den bara kontrollerar för tillägget '.babyk', som kommer att sakna alla filer som offret kan ha döpt om i ett försök att återställa dem. Dessutom kontrollerar dekrypteraren om filen är mer än 32 byte lång, eftersom de sista 32 byte kombineras senare med andra hårdkodade värden för att få den slutliga nyckeln “, sa studien.
“Det här är en dålig design eftersom de 32 byte kan vara skräp istället för nyckeln, eftersom kunden kan göra saker etc. Det fungerar inte effektivt genom att kontrollera de sökvägar som kontrolleras i skadlig programvara. Istället analyserar det allt.”
Seret och Keijzer fortsätter med att förklara att Babuk -ransomware orsakade betydande skada eftersom det fungerade felaktig ransomware som ledde till en dekrypteringsprocess som misslyckades i vissa fall och orsakade “oåterkallelig skada.”
< p>“Vi misstänker att denna dåliga design av ransomware var anledningen till att hotaktören bestämde sig för att gå mot en datahanteringsposition”, tillade Seret och Keijzer.
“I slutändan kan svårigheterna för Babuk-utvecklarna att skapa ESXi-ransomware ha lett till en förändring av affärsmodellen, från kryptering till datastöld och utpressning.”
McAfee Advanced Threat Research varnade för att Babuk publicerade rekryteringsnoteringar som bad om individer med pentaste färdigheter. De uppmanar försvarare att titta efter verktyg för penetrationstest som winPEAS, Bloodhound och SharpHound, eller hacka ramverk som CobaltStrike, Metasploit, Empire eller Covenant.
Security
Kaseya ransomware attack: Vad du behöver veta Surfshark VPN -recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN: erna för företag och hemmabruk De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar till fler attacker (ZDNet YouTube)
Relaterade ämnen :
IT-prioriteringar Säkerhet TV-datahantering CXO-datacenter 