Ein neuer Bericht von McAfee Advanced Threat Research beleuchtet die Babuk-Ransomware-Gang, die kürzlich angekündigt hatte, eine plattformübergreifende Binärdatei für Linux/UNIX- und ESXi- oder VMware-Systeme zu entwickeln.
„Angesichts des schlechten Designs seiner Ransomware sollte eine ganze Reihe von Opfern vor dem vollständigen Verlust ihrer Daten bewahrt werden, wenn sie von Babuk angegriffen werden Daten in Richtung eines doppelten Erpressungsschemas, bei dem die Bedrohungsakteure die Daten des Opfers sowohl verschlüsseln als auch exfiltrieren.Es ist interessant zu sehen, wie sich Bedrohungsakteure jetzt zu einem System bewegen, bei dem ihre einzige Quelle des Drucks, Opfer zu erpressen, die Exfiltration sensibler Daten ist. “
Das Babuk-Team begann mit dem Durchsickern von Daten und veröffentlichte im Mai zuerst den Quellcode für das Spiel Cyberpunk 2077. Aber danach wurde die Bande dem Bericht zufolge wieder dunkel.
Die Studie diskutiert auch den Babuk-Entschlüsseler, von dem Seret und Keijzer sagten, dass die maximale Anzahl von Bytes, die entschlüsselt werden, begrenzt ist, “was seltsam ist.”
“Der Entschlüsseler ist insgesamt schlecht, da er nur überprüft für die Erweiterung '.babyk', die alle Dateien übersieht, die das Opfer möglicherweise umbenannt hat, um sie wiederherzustellen. Außerdem prüft der Entschlüsseler, ob die Datei länger als 32 Byte ist, da die letzten 32 Byte später mit anderen kombiniert werden hartcodierte Werte, um den endgültigen Schlüssel zu erhalten”, heißt es in der Studie.
“Dies ist ein schlechtes Design, da diese 32 Bytes Müll sein könnten, anstatt der Schlüssel, da der Kunde Dinge usw. machen könnte. Es funktioniert nicht effizient, indem es die Pfade überprüft, die in der Malware überprüft werden. Stattdessen analysiert es alles.”
Seret und Keijzer erklären weiter, dass die Babuk-Ransomware erheblichen Schaden anrichtete, weil sie eine fehlerhafte Ransomware verwendete, die zu einem Entschlüsselungsprozess führte, der in einigen Fällen fehlschlug und “unwiederbringlichen Schaden” verursachte.
< p>„Wir vermuten, dass dieses schlechte Design der Ransomware der Grund dafür war, dass der Bedrohungsakteur beschlossen hat, in eine Datenverwaltungsposition zu wechseln“, fügten Seret und Keijzer hinzu.
“Letztendlich haben die Schwierigkeiten, mit denen die Babuk-Entwickler bei der Entwicklung von ESXi-Ransomware konfrontiert waren, möglicherweise zu einer Änderung des Geschäftsmodells geführt, von der Verschlüsselung zu Datendiebstahl und -erpressung.”
McAfee Advanced Threat Research warnte, dass Babuk Rekrutierungsnotizen veröffentlicht, in denen nach Personen mit Pentest-Fähigkeiten gefragt wird. Sie fordern Verteidiger auf, nach Penetrationstest-Tools wie winPEAS, Bloodhound und SharpHound oder Hacking-Frameworks wie CobaltStrike, Metasploit, Empire oder Covenant Ausschau zu halten.
Sicherheit
Kaseya-Ransomware-Angriff: Was Sie wissen müssen Surfshark VPN Review: Es ist billig, aber ist es gut? Die besten Browser für den Datenschutz Cybersicherheit 101: Schützen Sie Ihre Privatsphäre Die besten Antiviren-Software und -Apps Die besten VPNs für Unternehmen und Privat Die besten Sicherheitsschlüssel für 2FA Wie Opfer, die das Lösegeld zahlen, weitere Angriffe fördern (ZDNet YouTube)
Verwandte Themen :
IT-Prioritäten Sicherheit TV-Datenmanagement CXO-Rechenzentren 