在2021年4月的最后几天,Babuk勒索软件的运营商宣布,他们将专注于要求赎金,以获取从受损网络窃取的信息,而将加密部分的操作留在后面。这意味着他们不再需要勒索软件了。
“Babuk改变了方向,我们不再加密网络上的信息,我们会找到你,拿走你的数据,如果你不联系我们会通知你,我们会发布公告”
现在,在6月的最后几天,一名研究人员发现了用来创建勒索软件独特的有效载荷和解密模块的Babuk builder。
困惑
上有Babuk运营商计划如何进行,他们也通过宣布矛盾自己公布后有些疑惑,他们计划切换到勒索,作为一种服务(老城)模式和所谓的“双重勒索”。双重勒索包括加密受害者的数据和威胁泄露数据。操作RaaS模型的威胁参与者提供基础设施,包括勒索软件,供其他威胁参与者使用。
这种商业模式让人很难理解为什么RaaS客户会有兴趣与Babuk运营商合作,如果他们放弃了模型中的加密部分。威胁公布被盗数据的敲诈勒索不需要与加密数据相同的专业知识或基础设施。
Babuk史
该Babuk运营商浮出水面,在2020年底和管理的攻击华盛顿大都会警察局(MPD)做一个名字对于他们自己,之后他们发布了几个MPD人员的个人资料。不久之后,他们宣布,他们将终止其操作。
“该babuk项目就会被关闭,它的源代码将被公之于众,我们会做一些类似的开源RAAS,每个人都可以基于我们的产品自己的产品。”
当时,许多怀疑他们正在这一举动给躲闪被拒绝了它们对MPD攻击所造成的热量。
需要指出的是,Babuk的运营商在沟通方面总是有点反复无常。前一刻他们会宣布一些事情,但很快就会删除它,然后发布一个新的声明。正如我们尊敬的同事,Malwarebytes实验室主任Adam Kujawa在Maze宣布退休时所说:必威平台APP必威官方登录备用
“索要赎金的演员都是职业骗子和骗子;相信他们所说的一切都是错误的。”
建设者是如何结束在VirusTotal?
这是这里的令人困惑的问题。virustotal.(VT)经常被用来作为有关各方检查文件是否是恶意的快捷方式。但它已经有一段时间,因为恶意软件的作者是傻瓜足够上传他们的VT工作,以检查它是否会被反恶意软件行业或不得检出。在VT协作的厂商有机会获得上载有任何文件。所以,如果没有立即发现自己刚创建的恶意软件,它会后确定。由于这些天,恶意软件的作者都有自己的服务,而无需与反恶意软件供应商共享他们的工作运行这些检查。
通过将构建器上传到VirusTotal,他们基本上让源代码可用。关于为什么有人会上传Babuk builder,有几种可能的情况:
- 收到某人或找到的文件和不信任,所以他们检查了它的恶意软件在VT.不知道文件内容的人是不可能拿到它的。如果一个网络罪犯想要检查谁检测到这个,他们会使用一个不与反恶意软件供应商共享的服务。但事故时有发生,我们都听说过重要文件被上传到VT,以检查它们是否干净的故事。
- 有人想用(VT)总线下投掷建设者摧毁Babuk操作.这似乎只可能,如果竞争对手或联营公司的人想确保Babuk运营商真的会停止其业务的加密的一部分,或至少要慢下来一段时间。
- Babuk运营商选择这种奇怪的方式来提供源代码.这似乎不太可能,因为如果这是他们的计划,他们肯定会通过他们通常的渠道让人知道。
也许我们错过了描述真实情况的场景。一如既往,我们的评论欢迎你的意见。
可能后果的另一个事实,在某种程度上,是研究人员发现,Babuk的加密和解密代码的几个缺陷。这些缺陷出现在攻击涉及ESXi服务器和它们是严重的,足以导致数据的受害人共损失。
解密
它会采取Babuk建设者进行透彻的分析,才知道它是否包含足够的信息来创建软件,它可以解密Babuk勒索软件加密的文件。这将是对于没有支付赎金的受害者不错。我们会及时与你联络。
注释