18/05/21
Команда специалистов Sogeti CERT ESEC Threat Intelligence (CETI) провела анализ деятельности операторов вымогательского ПО Babuk и рассказала, как быстро новая группировка может приспособиться к проведению одиночного, двойного и даже тройного вымогательства. Не менее быстро операторы Babuk перешли на бизнес-модель «вымогательское-ПО-как-услуга», начав нанимать партнеров на подпольных русскоязычных форумах.
В отличие от других вымогателей, участники Babuk размещают рекламные сообщения на английском языке на популярных хакерских форумах. Во вредоносном ПО Babuk также отсутствует так называемая мера безопасности «Kill Switch», которая обычно включается при обнаружении по умолчанию установленных языков Содружества Независимых Государств (СНГ) на атакованных устройствах.
Хакеры создали собственный сайт утечек данных для публикации украденных сведений жертв в рамках стратегии двойного вымогательства. Преступники также опубликовали список компаний и организаций, которые они не будут атаковать, с некоторыми исключениями в виде благотворительных фондов, помогающих BLM и ЛГБТ.
Новый вымогатель поставляется без каких-либо механизмов обфускации исходного кода. Тем не менее, группировка использует надежную схему шифрования, которая почти не может быть взломана. Хакеры применяют самодельный алгоритм SHA256 Chacha8 для шифрования и защищают ключи с помощью ECDH. Babuk может принимать дополнительные параметры командной строки при установке. Если параметры не указаны, будут шифроваться только локальные диски.
Операторы Babuk уже успели атаковать организации в сфере здравоохранения, банки, компании в области розничных продаж и транспортные предприятия. Как сообщили в McAfee, атаки затронули компании и организации в Израиле, США, Индии, Люксембурге, Италии, Испании, Южной Африке, Объединенных Арабских Эмиратах, Великобритании, Китае и Германии.
По словам экспертов, преступники используют английский разговорный язык для общения на подпольных форумах. Предположительно, они не являются носителями английского языка, поскольку специалисты выявили несколько орфографических ошибок и неродных выражений.
Диапазон сумм выкупа составляет от $60 тыс. до $85 тыс., и по крайней мере одна жертва согласилась заплатить самую высокую сумму. Каждый образец программы-вымогателя Babuk специально настроен для жертвы с помощью записки о выкупе и URL-ссылки, указывающей на чат для переговоров по оплате.
Стремясь установить личность и отследить цифровой отпечаток злоумышленника под псевдонимом Biba99, эксперты в ходе расследования выявили в Instagram общедоступную учетную запись пользователя из Казахстана. Человек на различных фотографиях появляется как в полицейской, так и в военной форме, что свидетельствует о явном отсутствии осведомленности о мерах оперативной безопасности (OPSEC), которые возложены на правоохранительные органы в социальных сетях. Специалисты предполагают, что данный пользователь может быть оператором Babuk.
По оценкам исследователей, если новая группировка продолжит свои целевые атаки такими быстрыми темпами, Babuk может стать серьезной угрозой, как и Egregor, к которому перешли многие филиалы Maze.
