اولین باج افزار صنعتی سال 2021 : Babuk Locker

اولین باج افزار صنعتی سال 2021 : Babuk Locker

سال نوی میلادی از راه رسیده و همراه با آن باج افزار جدیدی به نام Babuk Locker آمده است که شرکت ها را مورد هدف قرار میدهد.

سال نوی میلادی از راه رسیده و همراه با آن باج افزار جدیدی به نام Babuk Locker آمده است که شرکت ها را مورد هدف قرار میدهد.
چگونه Babuk Locker دستگاه ها را انکریپت میکند؟
طبق گفته های متخصص امنیتی Chuong Dong کسی که این باج افزار جدید را آنالیز کرده ، کد این باج افزار بسیار آماتورانه است اما شامل قفل گذاری میشود که باعث میشود فرد قربانی نتواند فایل هایش را بدون هزینه بازگردانی کند.
در گزارش این محقق آمده است که : " با وجود آماتورانه بودن کد های بکار رفته ، قفل گذاری قوی آن که از الگوریتم Elliptic-Curve Diffie-Hellman استفاده میکند ثابت میکند که میتواند در بسیاری از حمله موثر واقع شود."
وقتی که اجرا شود ، هکر ها میتوانند از یک خط دستوری برای کنترل باج افزار و نحوه ی قفل گذاری آن و اینکه آیا آن باید Network share را قفل گذاری کند یا اینکه باید قبل از فایل های محلی قفل گذاری شوند تصمیم گیری کنند. خط این دستورات در تصویر پایین آمده است.

باج افزار

وقتی که اجرا شد ، این باج افزار بعضی از سرویس های ویندوز را منهدم و فعالیت هایی که فایل را باز نگه میدارند و از قفل شدن آن جلوگیری میکنند را میبندد. برنامه های منهدم شده شامل سرور های دیتابیس ، میل سرور ها ، نرم افزار های بک آپ ، میل کلاینت ها و مرورگر ها میشود.
هنگام قفل گذاری ، Babuk Locker از یک افزونه هارد کد شده برای هر فایل قفل گذاری شده استفاده میکند. این افزونه هاردکد شده که برای همه قربانیان تا کنون اضافه شده .__NIST_K571__. نام دارد.

باج افزار

یک فایل نوت باج گیری که How to Restore Your files.txt نام دارد در هر پوشه ایجاد میشود. این فایل نوت شامل اطلاعات ابتدایی در مورد اتفاقی که در حین حمله افتاده میشود و شامل لینکی به یک وبسایت تور است که قربانی میتواند با مسئولان باج افزار مذاکره کند.
در عکس پایین میتوانید یکی از این فایل های نوت را مشاهده کنید :

باج افزار

وبسایت تور Babuk Locker چیزی جز یک گفتگوی ساده با هکر ها نیست تا درباره باج مذاکره کنند. به عنوان بخشی از پروسه ی مذاکره ، هکر های باج افزار از قربانی میپرسند که آیا بیمه ی شرکت امنیتی دارند یا آیا با شرکت بازگردانی باج افزار همکاری میکنند یا خیر.

باج افزار

آن ها از قربانی فایل %AppDate%\ecdh_pub_k.bin را درخواست میکنند که شامل کلید عمومی ECDH میشود که به هکر ها اجازه میدهد تا تست رمزگشایی را انجام دهند.
متاسفانه ، Dong  اعلام کرده است که استفاده باج افزار از ChaCha8 و Elliptic-curve Diffie_hellman امکان برگشت فایل ها به صورت رایگان را غیر ممکن کرده است.
یکی از ترفند های معمول باج افزاری ، دزدی اطلاعات قفل گذاری نشده در ابتدا برای گرفتن باج بیشتر است.
اگرچه ، Babuk Locker در حال حاضر از یک فروم استفاده میکند تا دیتای دزدیده شده را لو دهد. این باج افزار تا کنون 5 قربانی داشته که شامل : 

  • شرکت مربوط به آسانسور
  • دفتر فروش مبل
  • فروشگاه قطعات ماشین
  • آزمایشگاه تست محصولات پزشکی
  • شرکت گرمایش و تهویه هوا

حداقل یکی از این قربانی ها باج را پذیرفته اند که حدود 85000 دلار شده است.
در یک پست در فروم هکر ، Babuk Locker اعلام کرده است که بزودی یک سایت لو دادن اطلاعات راه اندازی میکند.

منبع : www.bleepingcomputer.com