新年刚过没几天,人们就发现了2021年的第一批新型勒索软件。根据最新的研究,到目前为止,一个名为Babuk Locker的勒索软件似乎已经成功入侵了五家公司。
研究人员是佐治亚理工学院的计算机科学学生Chuong Dong,他说,他是在推特上一位名叫 "Arkbird "的安全研究人员的推文中第一次看到这个勒索软件的。随后,他在一个分享漏洞和泄密数据库的论坛RaidForums上发现了Babuk的相关信息。
Dong表示,根据Babuk勒索说明中提到的网站,以及RaidForums泄露的有关信息,可以证明该勒索软件已经成功入侵了全球五家不同的公司。根据BleepingComputer的报告,这些受害公司其中至少有一家已经同意支付8.5万美元的赎金。
Dong说:
- 虽然Babuk有很多不成熟的攻击特性,但它也有非常多新颖的技巧,特别是在加密和利用Windows功能方面。
Dong在本周的分析中说:
- Babuk是一种新型的勒索软件,始于今年年初,尽管采用了很不规范的编码手法,但其利用椭圆曲线Diffie-Hellman算法的强加密方案,从目前的结果来看,确实是对很多公司的攻击是有效的。
Babuk的特征
该勒索软件是以32位.EXE文件的形式出现的,很明显它没有做混淆加密保护。目前也还不清楚该勒索软件最初是如何传播给受害者的。
Dong告诉Threatpost:
- 到目前为止,我们还不知道勒索软件是如何进入公司的,但很有可能是勒索软件集团通过网络钓鱼这一途径实现的。
在被勒索软件加密前,Babuk中包含的服务和进程列表中所对应的进程和服务都会被关闭。其中包括各种系统监控服务,比如BackupExecVSSProvider、YooBackup和BackupExecDiveciMediaService。在进程方面,Babuk会终止31个进程,包括sql.exe,oracle.exe和outlook.exe。
Dong向Threatpost解释说:
- 关闭应用程序对于攻击来说是很有必要的,因为当勒索软件运行时,这些应用程序可能会打开文件,如果一个应用程序已经打开了一个文件,勒索软件就不能在次打开它,那么攻击就会失败。
加密方式
值得注意的是Babuk采用的加密机制:它在攻击中使用自己实现的SHA哈希、ChaCha8加密和椭圆曲线Diffie-Hellman(ECDH)密钥生成交换算法来对文件进行加密,这使得受害者几乎不可能将文件进行恢复。
Dong说:
由于ECDH的机制,勒索软件作者可以使用自己的私钥和受害者的公钥生成共享秘钥来解密文件,这使得受害者不可能自行解密文件,除非他们能够在恶意软件完成加密之前找到生成的随机私钥。
Sophos研究人员表示:
Babuk还使用了多线程。为了能让进程并行执行,提高系统利用率,许多计算机中都包含一个或多个多核的CPU。像Babuk这样可以利用多线程的勒索软件,能够将单个任务并行化,以确保在受害者发现他们受到攻击之前,可以造成更大的破坏。
不过,Dong表示,该勒索软件的"多线程方法非常简单"。
他说,首先,它的多线程进程会使用递归来遍历文件。这个过程会从最高目录(例如C://驱动器)的一个线程开始,在主加密功能中,程序将遍历父目录中的每一个项目。如果找到了一个文件,它就会对其进行加密。如果发现是一个新的目录,这个过程将以该目录为父目录再次调用主加密函数,然后遍历该文件夹。这个过程会持续多层,直到Babuk遍历了每一个文件夹和文件。
Dong告诉Threatpost:
- 这是勒索软件的基本操作方法,那些开发恶意软件的人通常会使用这个方法,这个想法虽然很好,但要考虑到一个正常系统中至少有10000个文件,这又是一个很大的工作量。
勒索软件要产生的线程数量通常是将受害者机器上的核心数量增加一倍,然后再分配一个数组来存储所有的线程句柄。
Dong说:
每个进程都有可能创建大量的线程,然而,在理想的情况下,每个处理器最好只运行一个线程,以避免在加密过程中,线程之间相互竞争处理器的时间和资源。
Dong补充说,相比之下,Conti勒索软件就正确地利用了多线程方法,它使每个处理器核心运行一个线程。它的加密速度非常快,只需不到30秒就可以加密C://驱动器。
Windows Restart Manager
Babuk还利用了微软的Windows Restart Manager功能,它能使用户关闭和重启所有应用程序和服务。勒索软件利用的这一功能可以终止任何正在使用文件进程。Dong表示,这可以确保没有任何东西能阻止恶意软件加密文件。
此前,其他常见的勒索软件也曾利用过Windows Restart Manager,包括Conti勒索软件(在2020年7月的一次攻击中被发现)和REvil勒索软件(在2020年5月的新版本中被发现)。
一旦所有文件被加密,Babuk的勒索信息就告诉受害者他们的计算机和服务器已经被加密,并要求受害者使用Tor浏览器与他们联系。
Tripwire安全研究高级总监Lamar Bailey在一封电子邮件中说:
- 然而,如果受害者打算支付赎金,他们必须要在聊天过程中上传文件,以便让黑客解密文件,我预计解密的失败率会相当高。他们会赚钱吗?当然会。但就像许多社会潮流一样,过不了几个月就不流行了,他们并不会长期的获取大量资金。
新的勒索软件是在勒索软件攻击持续上升的情况下出现的。自2018年以来,勒索软件攻击数量猛增了350%。在过去的一年里,医疗系统受到勒索软件攻击的情况尤为严重,最近的一份报告称,自11月份以来,针对医疗机构的网络攻击增加了45%。
本文翻译自: https://threatpost.com/ransomware-babuk-locker-large-corporations/162836/如若转载,请注明原文地址。
