Что такое шкафчик Бабук? Банда программ-вымогателей, о которых вам следует знать
С момента своего создания код вымогателя Babuk Locker доказал свою высокую эффективность. И несмотря на то, что группа недавно объявила о своем отказе от атак, ориентированных на программы-вымогатели, ее рост как киберпреступной банды далек от завершения.
Что такое программы-вымогатели?
Чтобы понять банду Babuk Locker, необходимо понимать, что такое программа-вымогатель .
Программы-вымогатели – это тип вредоносного ПО, которое нацелено на данные жертв. Кибер-злоумышленники используют его для отказа жертвам в доступе к их сетевым данным с помощью процессов шифрования. После того, как злоумышленник успешно использует программу-вымогатель, злоумышленник использует обещание ключа дешифратора, чтобы заставить жертв заплатить выкуп. Ключи дешифратора позволяют получить доступ к зашифрованным файлам жертвы. В результате, когда программы-вымогатели отказывают жертвам в доступе к критически важным данным, они часто готовы заплатить выкуп.
Поскольку многие цели программ-вымогателей готовы платить злоумышленникам, частота атак программ-вымогателей резко возросла . По данным statista.com , только в 2020 году количество атак программ-вымогателей увеличилось на 62 процента по сравнению с предыдущим годом.
Мишени Бабука
Согласно опубликованному самостоятельно посту Бабука Локера на raidforum.com (имя пользователя biba99), Бабук не нацелен на больницы, некоммерческие организации, небольшие университеты / колледжи или компании, годовой доход которых составляет менее 4 миллионов долларов.
Хотя эта политика предлагает некоторую гарантию для владельцев малого бизнеса и организаций, она подразумевает, что группа желает нацеливаться на крупные предприятия и правительственные организации. Пока что организация доказала свою готовность атаковать правительственные организации. В апреле 2021 года они взяли на себя ответственность за нападение на сеть полиции Вашингтона.
В дополнение к нацеливанию на крупные предприятия, Babuk Locker отдает предпочтение компаниям, страхующим от программ-вымогателей. После успешной атаки группа спросит у целей, есть ли у них страховка от программ-вымогателей. Предположительно, наличие страховки от программ-вымогателей позволяет группе требовать более высокую цену выкупа.
Как распространяется программа-вымогатель Babuk Locker?
Babuk Locker проникает в сети через хосты с выходом в Интернет, у которых есть учетные записи с высокими административными привилегиями. После первого входа в сеть очевидно, что Бабук не сразу шифрует файлы цели.
Бабук часто выпускает конфиденциальную файловую информацию от своих целей. Это означает, что перед полезной нагрузкой шифрования Babuk Locker сортирует файлы цели, чтобы извлечь ценную информацию для дальнейшего использования.
Выполнение полезной нагрузки
Когда выполняется полезная нагрузка программы-вымогателя Babuk Locker, она начинается с приостановки служб и процессов, которые могут препятствовать способности кода шифровать данные. Службы и процессы, связанные с программами резервного копирования, программами поиска вирусов и т. Д., Прекращаются до начала шифрования данных.
После завершения необходимых служб и процессов код определяет тип диска целевого хоста. Определение типа диска хоста позволяет обнаруживать источники данных и увеличивает доступность кода программы-вымогателя.
Когда местоположение данных на целевом хосте определено, запрашиваются файлы в каталогах хоста. Чтобы гарантировать, что цель сохранит доступ к Интернету и сети, некоторые файлы исключаются из шифрования, а к другим добавляется расширение .babyk .
После того, как все необходимые файлы в каталоге будут зашифрованы, создается текстовый файл (.txt), содержащий примечание для цели. Файл также включает инструкции для цели, чтобы войти в контакт с группой. После того, как цель вступает в контакт с организацией, Babuk Locker доказывает свою добросовестность, превентивно расшифровывая несколько файлов цели. Затем группа излагает свои платежные требования, часто требующие оплаты в виде биткойнов.
Программа-вымогатель как услуга
Банда Babuk Locker использует стратегии атак «Программа-вымогатель как услуга» (RaaS). Продукты RaaS работают аналогично продуктам SaaS («Программное обеспечение как услуга»). С продуктами SaaS компания предоставляет в аренду доступ к законному программному продукту.
После этого компания может использовать программное обеспечение без ответственности за управление им. Прибыльность и простота модели SaaS привели к ее присвоению бандами вымогателей. В обмен на доступ к коду разработчиков программ-вымогателей партнерские злоумышленники уплачивают начальную плату за доступ и процент от своей прибыли от выкупа бандам программ-вымогателей.
Финансовые преимущества и преимущества модели RaaS с точки зрения безопасности помогают объяснить, почему злоумышленники, такие как Babuk Locker, инициируют кампании атак. Когда Babuk Locker выполняет успешную атаку, партнерские злоумышленники готовы покупать наборы программ-вымогателей Babuk. Кроме того, когда покупатели наборов программ-вымогателей Бабука проводят успешные атаки, Бабук получает процент от прибыли, не неся ответственность за грязную работу.
Изменение RaaS-модели Бабука Локера
Тем не менее, Babuk Locker может не иметь возможности получать прибыль от модели RaaS. Согласно Emisoft , ключ дешифратора Бабука повреждает файлы в среде VMware ESXi. В дешифраторе Бабука нет механизма для определения, зашифрован ли файл. Это приводит к расшифровке незашифрованных файлов, что приводит к полной потере файла.
Без эффективного дешифратора кода вымогателя Бабука организации не захотели бы платить выкуп. Другими словами, ошибка дешифратора Babuk Locker сделает его неэффективным для аффилированных злоумышленников.
Помимо неудачного дешифратора, решение Бабука использовать свой код для атаки на высокопоставленную цель, полицейское управление Вашингтона, округ Колумбия, привлекло пристальное внимание к его коду и организации. Это может объяснить, почему группа недавно объявила о своем намерении отойти от модели RaaS.
На сайте группы Tor он объявил о своем намерении прекратить аффилированную злоумышленническую программу группы и сделать ее программы-вымогатели общедоступными. Группа переведет свою бизнес-модель на новую форму вымогательства данных. Вместо того, чтобы шифровать файлы организаций, группа будет красть данные и заставлять компании платить за то, чтобы данные не разглашались.
Предотвращение атаки Babuk Locker
Для предотвращения атаки Babuk Locker организации должны соблюдать общие передовые методы защиты от программ-вымогателей. Некоторые передовые практики: ограничение вероятности взлома учетной записи, шифрование конфиденциальных данных, сегментация сети и надежное исправление. Кроме того, по возможности, организациям следует избегать выплат бандам вымогателей.
Даже в случае выплаты выкупа нет гарантии, что предоставленные злоумышленником дешифраторы восстановят файлы организации.