文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

新的一年,新型勒索软件Babuk Locker开始针对大型企业进行攻击

2024-12-03 13:18

关注

新年刚过没几天,人们就发现了2021年的第一批新型勒索软件。根据最新的研究,到目前为止,一个名为Babuk Locker的勒索软件似乎已经成功入侵了五家公司。

研究人员是佐治亚理工学院的计算机科学学生Chuong Dong,他说,他是在推特上一位名叫 "Arkbird "的安全研究人员的推文中第一次看到这个勒索软件的。随后,他在一个分享漏洞和泄密数据库的论坛RaidForums上发现了Babuk的相关信息。

Dong表示,根据Babuk勒索说明中提到的网站,以及RaidForums泄露的有关信息,可以证明该勒索软件已经成功入侵了全球五家不同的公司。根据BleepingComputer的报告,这些受害公司其中至少有一家已经同意支付8.5万美元的赎金。

Dong说:

Dong在本周的分析中说:

Babuk的特征

该勒索软件是以32位.EXE文件的形式出现的,很明显它没有做混淆加密保护。目前也还不清楚该勒索软件最初是如何传播给受害者的。

Dong告诉Threatpost:

在被勒索软件加密前,Babuk中包含的服务和进程列表中所对应的进程和服务都会被关闭。其中包括各种系统监控服务,比如BackupExecVSSProvider、YooBackup和BackupExecDiveciMediaService。在进程方面,Babuk会终止31个进程,包括sql.exe,oracle.exe和outlook.exe。

Dong向Threatpost解释说:

加密方式

值得注意的是Babuk采用的加密机制:它在攻击中使用自己实现的SHA哈希、ChaCha8加密和椭圆曲线Diffie-Hellman(ECDH)密钥生成交换算法来对文件进行加密,这使得受害者几乎不可能将文件进行恢复。

Dong说:

由于ECDH的机制,勒索软件作者可以使用自己的私钥和受害者的公钥生成共享秘钥来解密文件,这使得受害者不可能自行解密文件,除非他们能够在恶意软件完成加密之前找到生成的随机私钥。

Sophos研究人员表示:

Babuk还使用了多线程。为了能让进程并行执行,提高系统利用率,许多计算机中都包含一个或多个多核的CPU。像Babuk这样可以利用多线程的勒索软件,能够将单个任务并行化,以确保在受害者发现他们受到攻击之前,可以造成更大的破坏。

不过,Dong表示,该勒索软件的"多线程方法非常简单"。

他说,首先,它的多线程进程会使用递归来遍历文件。这个过程会从最高目录(例如C://驱动器)的一个线程开始,在主加密功能中,程序将遍历父目录中的每一个项目。如果找到了一个文件,它就会对其进行加密。如果发现是一个新的目录,这个过程将以该目录为父目录再次调用主加密函数,然后遍历该文件夹。这个过程会持续多层,直到Babuk遍历了每一个文件夹和文件。

Dong告诉Threatpost:

勒索软件要产生的线程数量通常是将受害者机器上的核心数量增加一倍,然后再分配一个数组来存储所有的线程句柄。

Dong说:

每个进程都有可能创建大量的线程,然而,在理想的情况下,每个处理器最好只运行一个线程,以避免在加密过程中,线程之间相互竞争处理器的时间和资源。

Dong补充说,相比之下,Conti勒索软件就正确地利用了多线程方法,它使每个处理器核心运行一个线程。它的加密速度非常快,只需不到30秒就可以加密C://驱动器。

Windows Restart Manager

Babuk还利用了微软的Windows Restart Manager功能,它能使用户关闭和重启所有应用程序和服务。勒索软件利用的这一功能可以终止任何正在使用文件进程。Dong表示,这可以确保没有任何东西能阻止恶意软件加密文件。

此前,其他常见的勒索软件也曾利用过Windows Restart Manager,包括Conti勒索软件(在2020年7月的一次攻击中被发现)和REvil勒索软件(在2020年5月的新版本中被发现)。

一旦所有文件被加密,Babuk的勒索信息就告诉受害者他们的计算机和服务器已经被加密,并要求受害者使用Tor浏览器与他们联系。

Tripwire安全研究高级总监Lamar Bailey在一封电子邮件中说:

新的勒索软件是在勒索软件攻击持续上升的情况下出现的。自2018年以来,勒索软件攻击数量猛增了350%。在过去的一年里,医疗系统受到勒索软件攻击的情况尤为严重,最近的一份报告称,自11月份以来,针对医疗机构的网络攻击增加了45%。

本文翻译自: https://threatpost.com/ransomware-babuk-locker-large-corporations/162836/如若转载,请注明原文地址。

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯