刚过完年没几天,人们就发现了2021年第一批新型勒索病毒,一款名为BabukLocker的勒索病毒似乎已经成功攻陷了五家企业到目前为止,根据新的研究。研究员ChuongDong是佐治亚理工学院计算机科学专业的学生,??他说他第一次看到勒索软件是在Twitter上一位名叫“Arkbird”的安全研究员的推文中。然后,他在RaidForums上找到了有关Babuk的信息,RaidForums是一个共享漏洞和漏洞数据库的论坛。董表示,根据Babuk勒索信中提到的网站以及RaidForums泄露的相关信息,可以证明该勒索软件已经成功入侵了全球五家不同的公司。根据BleepingComputer的报告,这些受害公司中至少有一家已同意支付85,000美元的赎金。董说:“虽然Babuk有很多早熟的攻击特征,但它也有很多新奇的花样,尤其是在加密和利用Windows功能方面。董在本周的分析中说:Babuk是一种新型的勒索软件,从一开始就开始今年的,虽然它使用了非常不规则的编码方式,但它使用了使用椭圆曲线Diffie-Hellman算法的强加密方案。因此,对许多公司的攻击确实有效。Babuk勒索病毒的特点是形式一个32位的.EXE文件,显然没有受到混淆加密的保护。目前还不清楚勒索软件是如何首先传播给受害者的。董告诉Threatpost:到目前为止,我们还不知道勒索软件是如何进入公司的,但极有可能是勒索团伙通过钓鱼的方式进行的,在被勒索病毒加密前,Babuk中包含的服务和进程列表中对应的进程和服务都会被关闭.其中包括各种系统监控服务,例如BackupExecVSSProvider、YooBackup和BackupExecDiveciMediaService。在进程方面,Babuk终止了sql.exe、oracle.exe、outlook.exe等31个进程。Dong向Threatpost解释说:关闭应用程序是攻击所必需的,因为当勒索软件运行时,应用程序可能会打开文件,如果应用程序已经打开了一个文件,勒索软件就无法再次打开它。打开它,那么攻击就会失败。加密方式值得注意的是Babuk采用的加密机制:它在攻击中使用自己实现的SHA哈希、ChaCha8加密和椭圆曲线Diffie-Hellman(ECDH)密钥生成交换算法对文件进行加密,使得受害者是几乎不可能恢复文件。“由于ECDH机制,勒索软件作者可以使用自己的私钥和受害者的公钥生成共享密钥来解密文件,这使得受害者无法自行解密文件,除非他们能够在恶意软件完成加密,”董说。找到生成的随机私钥。Sophos研究人员表示:Babuk还使用了多线程。为了让进程并行执行并提高系统利用率,许多计算机都包含一个或多个多核CPU。像Babuk这样的勒索软件可以利用多线程,能够并行处理各个任务,以确保在受害者意识到自己受到攻击之前可以造成更多的破坏。不过,董说勒索软件的“多线程方法非常简单”。首先,它的多线程进程使用递归来遍历文件,他说。该过程将从最高层目录(如C://盘)中的线程开始,在主加密函数中,程序将遍历父目录中的每一项。如果它找到一个文件,它会加密它。如果发现是新的目录,这个过程会以这个目录为父目录,再次调用主加密函数,然后遍历文件夹。这个过程通过多个层继续进行,直到Babuk遍历了每个文件夹和文件。董告诉Threatpost:“这是勒索软件的基本运行方式,开发恶意软件的人通常使用这种方式。虽然这个想法很好,但很难想象一个正常系统中至少有10,000个文件。工作量大。勒索软件产生的线程数通常是受害机器上核心数的两倍,然后分配一个数组来存储所有线程句柄。董说:每个进程都有可能创建大量线程,然而,在理想情况下,最好每个处理器只运行一个线程,以避免在加密过程中线程之间争夺处理器时间和处理器时间资源。相比之下,Dong补充说,Conti勒索软件利用了多线程方法正确,让每个处理器核心运行一个线程。加密非常快,加密C://驱动器不到30秒。WindowsRestartManagerBabuk还利用了Microsoft的WindowsRestartManager功能,该功能使用户能够关闭并重新启动所有应用程序和服务。勒索软件利用的此功能会终止正在使用该文件的任何进程。董说,这确保没有什么可以阻止恶意软件加密文件。WindowsRestartManager此前也被其他常见勒索软件利用过,包括Conti勒索软件(在2020年7月的一次攻击中被发现)和REvil勒索软件(在2020年5月的新版本中被发现)。一旦所有文件都被加密,Babuk的勒索信息就会告诉受害者他们的计算机和服务器已被加密,并要求受害者使用Tor浏览器与他们联系。“但是,如果受害者要支付赎金,他们将不得不在聊天过程中上传文件,以便黑客解密文件,我预计解密失败率会很高,”资深LamarBaileyTripwire的安全研究主管在一封电子邮件中说。他们会赚钱吗?他们当然会。但就像许多社会趋势一样,它们会在几个月后消失,并且不会长期吸引大量资金。随着勒索软件攻击的不断增加,新的勒索软件出现了。自2018年以来,勒索软件攻击的数量猛增了350%。医疗保健系统在过去一年中受到勒索软件攻击的打击尤其严重,最近的一份报告称,自去年11月以来,针对医疗保健组织的网络攻击增加了45%。本文翻译自:https://threatpost.com/ransomware-babuk-locker-large-corporations/162836/如有转载请注明出处。
