En ny rapport fra McAfee Advanced Threat Research sætter fokus på Babuk-ransomware-banden, der for nylig annoncerede, at den ville udvikle en tværplatforms binær rettet mod Linux/UNIX og ESXi eller VMware-systemer.
“I betragtning af den ransomware's dårlige design, bør et rimeligt antal ofre reddes fra helt at miste deres data, når de bliver angrebet af Babuk. Som nævnt i de foregående afsnit har Northwave set trusselsaktører langsomt bevæge sig fra en ordning, der afpresser ofre ved at kryptere deres data mod et dobbelt-afpresningsskema, hvor trusselaktørerne både krypterer offerets data og exfiltrerer det også. Det er interessant at se trusselsaktører, der nu bevæger sig mod en ordning, hvor deres eneste kilde til pres for at afpresse ofre er exfiltrering af følsomme data. “
Babuk -teamet begyndte at lække data og frigav først kildekoden til Cyberpunk 2077 -spillet i maj. Men derefter blev banden mørk igen, ifølge rapporten.
Undersøgelsen diskuterer også Babuk -dekrypteren, som Seret og Keijzer sagde, har en grænse for det maksimale antal bytes, der vil dekryptere, “hvilket er mærkeligt.”
“Samlet set er dekrypteren dårlig, da den kun kontrollerer for udvidelsen '.babyk', som vil savne alle filer, offeret kan have omdøbt i et forsøg på at gendanne dem. Dekryptereren kontrollerer også, om filen er mere end 32 bytes, da de sidste 32 bytes kombineres senere med andre bytes hardkodede værdier for at få den sidste nøgle, “sagde undersøgelsen.
“Dette er dårligt design, da de 32 bytes kunne være skraldespand i stedet for nøglen, da kunden kunne lave ting osv. Det fungerer ikke effektivt ved at kontrollere de stier, der kontrolleres i malware. I stedet analyserer det alt.”
Seret og Keijzer fortsætter med at forklare, at Babuk ransomware forårsagede betydelig skade, fordi den fungerede defekt ransomware, der førte til en dekrypteringsproces, der i nogle tilfælde mislykkedes og forårsagede “uoprettelig skade.”
< p>“Vi formoder, at dette dårlige design af ransomware var årsagen til, at trusselsaktøren besluttede at bevæge sig hen mod en datastyringsposition,” tilføjede Seret og Keijzer.
“I sidste ende kan de vanskeligheder Babuk -udviklerne står over for med at oprette ESXi ransomware have ført til en ændring af forretningsmodellen, fra kryptering til datatyveri og afpresning.”
McAfee Advanced Threat Research advarede om, at Babuk postede rekrutteringsnotater, hvor de bad om personer med de penteste færdigheder. De opfordrer forsvarere til at holde øje med penetrationstestværktøjer som winPEAS, Bloodhound og SharpHound eller hacking-rammer som CobaltStrike, Metasploit, Empire eller Covenant.
Sikkerhed
Kaseya ransomware-angreb: Hvad du har brug for at vide Surfshark VPN -anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
IT-prioriteter Sikkerhed TV-datastyring CXO-datacentre 