Een nieuw rapport van McAfee Advanced Threat Research belicht de Babuk ransomware-bende, die onlangs aankondigde dat het een cross-platform binary zou ontwikkelen gericht op Linux/UNIX en ESXi of VMware-systemen.
“Gezien het slechte ontwerp van zijn ransomware, zou een behoorlijk aantal slachtoffers moeten worden behoed voor het volledig verliezen van hun gegevens wanneer ze worden aangevallen door Babuk. Zoals vermeld in de vorige secties, heeft Northwave bedreigingsactoren langzaam zien afstappen van een plan dat slachtoffers afperst door hun gegevens te versleutelen. gegevens naar een systeem van dubbele afpersing waarbij de dreigingsactoren zowel de gegevens van het slachtoffer versleutelen als deze ook exfiltreren.Het is interessant om te zien dat dreigingsactoren nu op weg zijn naar een schema waarbij hun enige bron van druk om slachtoffers af te persen de exfiltratie van gevoelige gegevens is. “
Het Babuk-team begon gegevens te lekken en gaf in mei voor het eerst de broncode vrij voor de Cyberpunk 2077-game. Maar daarna werd de bende weer donker, volgens het rapport.
De studie bespreekt ook de Babuk-decryptor, waarvan Seret en Keijzer zeiden dat er een limiet is in het maximale aantal bytes dat kan worden gedecodeerd, “wat vreemd is.”
“Over het algemeen is de decryptor slecht omdat het alleen controleert voor de extensie '.babyk', die alle bestanden zal missen die het slachtoffer mogelijk heeft hernoemd in een poging om ze te herstellen. Ook controleert de decryptor of het bestand meer dan 32 bytes lang is, aangezien de laatste 32 bytes later worden gecombineerd met andere hardcoded waarden om de laatste sleutel te krijgen”, aldus de studie.
“Dit is een slecht ontwerp, omdat die 32 bytes afval kunnen zijn in plaats van de sleutel, omdat de klant dingen kan maken, enz. Het werkt niet efficiënt door de paden te controleren die in de malware worden gecontroleerd. In plaats daarvan analyseert het alles.”
Seret en Keijzer leggen verder uit dat de Babuk-ransomware aanzienlijke schade aanrichtte omdat het defecte ransomware gebruikte, wat leidde tot een decoderingsproces dat in sommige gevallen mislukt, wat “onherstelbare schade” veroorzaakte.
p>”We vermoeden dat dit slechte ontwerp van de ransomware de reden was dat de dreigingsactor besloot over te stappen naar een datamanagementfunctie”, voegde Seret en Keijzer toe.
“Uiteindelijk hebben de problemen waarmee de Babuk-ontwikkelaars werden geconfronteerd bij het maken van ESXi-ransomware geleid tot een verandering in het bedrijfsmodel, van versleuteling tot gegevensdiefstal en afpersing.”
McAfee Advanced Threat Research waarschuwde dat Babuk rekruteringsmemo's plaatste waarin werd gevraagd naar personen met pentestvaardigheden. Ze dringen er bij verdedigers op aan om te letten op penetratietesttools zoals winPEAS, Bloodhound en SharpHound, of hacking-frameworks zoals CobaltStrike, Metasploit, Empire of Covenant.
Beveiliging
Kaseya ransomware-aanval: Wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
IT-prioriteiten Beveiliging TV-gegevensbeheer CXO-datacenters 