Ερευνητές ασφαλείας ανακάλυψαν μια νέα οικογένεια ransomware που στοχεύει εταιρικά δίκτυα, προειδοποιώντας ότι κυβερνοεγκληματίες έχουν ήδη «χτυπήσει» πολλούς οργανισμούς, παραβιάζοντας συστήματά τους και κρυπτογραφώντας στη συνέχεια αρχεία που βρίσκονται σε αυτά. Η νέα οικογένεια ransomware, με την ονομασία Babuk, έχει παραβιάσει και «μολύνει» τουλάχιστον τέσσερα εταιρικά δίκτυα, τα οποία προσπαθούν τώρα να ανακτήσουν τα δεδομένα τους.
Σύμφωνα με τον ερευνητή Chuong Dong, το ransomware είναι αρκετά τυπικό και στερείται συγκαλύψεων. Ωστόσο, ο ερευνητής προειδοποίησε ότι κυβερνοεγκληματίες έχουν επιτυχία στις «επιχειρήσεις» τους με τη χρήση ισχυρής κρυπτογράφησης. Ο Dong επεσήμανε ότι παρά τις πρακτικές ερασιτεχνικής κωδικοποίησης που χρησιμοποιούνται, το ισχυρό σχήμα κρυπτογράφησης που χρησιμοποιεί τον Αλγόριθµο Ανταλλαγής Κλειδιών Diffie-Hellman σε ελλειπτικές καµπύλες, έχει αποδειχθεί αποτελεσματικό στην επίθεση σε πολλές εταιρείες μέχρι στιγμής.
Παρόμοια με άλλες οικογένειες ransomware, ο Dong επεσήμανε ότι το Babuk χρησιμοποιεί τεχνικές, όπως multi-threading κρυπτογράφηση. Παρατηρήθηκε επίσης κατάχρηση του Windows Restart Manager, ομοίως με τα στελέχη Conti και REvil ransomware.
Το Babuk εφαρμόζει αλγόριθμο κρυπτογράφησης ChaCha8, κατακερματισμού SHA256 και ελλειπτικών καμπυλών Diffie-Hellman (ECDH) για δημιουργία κλειδιών και ανταλλαγή, με στόχο την ασφάλιση κλειδιών και την κρυπτογράφηση αρχείων. Επιπλέον, για κάθε δείγμα malware, οι χάκερς χρησιμοποιούν ένα μόνο ιδιωτικό κλειδί.
Μικροσκοπικός εξωπλανήτης βρέθηκε πολύ κοντά στη Γη
GR-2: Ανθρωποειδές ρομπότ με πιο "ανθρώπινη" κίνηση
Νέα στοιχεία για τον Χάροντα, το φεγγάρι του Πλούτωνα
Επίσης, το ransomware κρυπτογραφεί τοπικά μηχανήματα μόνο εάν δεν παρέχονται παράμετροι γραμμής εντολών. Με παραμέτρους, μπορεί είτε να κρυπτογραφήσει μόνο τοπικά είτε να μεταβεί σε κρυπτογράφηση κοινών στοιχείων δικτύου μετά την κρυπτογράφηση τοπικών μηχανημάτων.
Το Babuk περιλαμβάνει επίσης λειτουργικότητα για το κλείσιμο συγκεκριμένων υπηρεσιών και διαδικασιών πριν από την έναρξη της λειτουργίας κρυπτογράφησης. Στοχεύει πολλαπλές εφεδρικές υπηρεσίες, καθώς και διαδικασίες για database, εφαρμογές γραφείου, browser και email clients. Ακόμη, χρησιμοποιεί το Windows Restart Manager για να τερματίσει τις διαδικασίες, ώστε να διασφαλίσει ότι τα αρχεία μπορούν να κρυπτογραφηθούν, και επιχειρεί να διαγράψει «σκοτεινά» αντίγραφα, τόσο πριν όσο και μετά την κρυπτογράφηση.
Ο μηχανισμός δημιουργίας κλειδιών που χρησιμοποιείται από το Babuk είναι περίπλοκος, έχοντας ως στόχο να διασφαλίσει ότι το θύμα δεν θα μπορέσει να ανακτήσει τα αρχεία του, ενώ επιτρέπει στους επιτιθέμενους να δημιουργήσουν εύκολα το «κοινόχρηστο μυστικό» που απαιτείται για την αποκρυπτογράφηση. Ωστόσο, η προσέγγιση του multi-threading θεωρείται μέτρια, σύμφωνα με τον Dong.