[[376158]]

新年剛過沒幾天，人們就發(fā)現(xiàn)了2021年的第一批新型勒索軟件。根據(jù)最新的研究，到目前為止，一個名為Babuk Locker的勒索軟件似乎已經(jīng)成功入侵了五家公司。

研究人員是佐治亞理工學(xué)院的計(jì)算機(jī)科學(xué)學(xué)生Chuong Dong，他說，他是在推特上一位名叫 "Arkbird "的安全研究人員的推文中第一次看到這個勒索軟件的。隨后，他在一個分享漏洞和泄密數(shù)據(jù)庫的論壇RaidForums上發(fā)現(xiàn)了Babuk的相關(guān)信息。

Dong表示，根據(jù)Babuk勒索說明中提到的網(wǎng)站，以及RaidForums泄露的有關(guān)信息，可以證明該勒索軟件已經(jīng)成功入侵了全球五家不同的公司。根據(jù)BleepingComputer的報(bào)告，這些受害公司其中至少有一家已經(jīng)同意支付8.5萬美元的贖金。

Dong說：

• 雖然Babuk有很多不成熟的攻擊特性，但它也有非常多新穎的技巧，特別是在加密和利用Windows功能方面。

Dong在本周的分析中說：

• Babuk是一種新型的勒索軟件，始于今年年初，盡管采用了很不規(guī)范的編碼手法，但其利用橢圓曲線Diffie-Hellman算法的強(qiáng)加密方案，從目前的結(jié)果來看，確實(shí)是對很多公司的攻擊是有效的。

Babuk的特征

該勒索軟件是以32位.EXE文件的形式出現(xiàn)的，很明顯它沒有做混淆加密保護(hù)。目前也還不清楚該勒索軟件最初是如何傳播給受害者的。

Dong告訴Threatpost：

• 到目前為止，我們還不知道勒索軟件是如何進(jìn)入公司的，但很有可能是勒索軟件集團(tuán)通過網(wǎng)絡(luò)釣魚這一途徑實(shí)現(xiàn)的。

在被勒索軟件加密前，Babuk中包含的服務(wù)和進(jìn)程列表中所對應(yīng)的進(jìn)程和服務(wù)都會被關(guān)閉。其中包括各種系統(tǒng)監(jiān)控服務(wù)，比如BackupExecVSSProvider、YooBackup和BackupExecDiveciMediaService。在進(jìn)程方面，Babuk會終止31個進(jìn)程，包括sql.exe，oracle.exe和outlook.exe。

Dong向Threatpost解釋說：

• 關(guān)閉應(yīng)用程序?qū)τ诠魜碚f是很有必要的，因?yàn)楫?dāng)勒索軟件運(yùn)行時，這些應(yīng)用程序可能會打開文件，如果一個應(yīng)用程序已經(jīng)打開了一個文件，勒索軟件就不能在次打開它，那么攻擊就會失敗。

加密方式

值得注意的是Babuk采用的加密機(jī)制：它在攻擊中使用自己實(shí)現(xiàn)的SHA哈希、ChaCha8加密和橢圓曲線Diffie-Hellman(ECDH)密鑰生成交換算法來對文件進(jìn)行加密，這使得受害者幾乎不可能將文件進(jìn)行恢復(fù)。

Dong說：

由于ECDH的機(jī)制，勒索軟件作者可以使用自己的私鑰和受害者的公鑰生成共享秘鑰來解密文件，這使得受害者不可能自行解密文件，除非他們能夠在惡意軟件完成加密之前找到生成的隨機(jī)私鑰。

Sophos研究人員表示：

Babuk還使用了多線程。為了能讓進(jìn)程并行執(zhí)行，提高系統(tǒng)利用率，許多計(jì)算機(jī)中都包含一個或多個多核的CPU。像Babuk這樣可以利用多線程的勒索軟件，能夠?qū)蝹€任務(wù)并行化，以確保在受害者發(fā)現(xiàn)他們受到攻擊之前，可以造成更大的破壞。

不過，Dong表示，該勒索軟件的"多線程方法非常簡單"。

他說，首先，它的多線程進(jìn)程會使用遞歸來遍歷文件。這個過程會從最高目錄(例如C://驅(qū)動器)的一個線程開始，在主加密功能中，程序?qū)⒈闅v父目錄中的每一個項(xiàng)目。如果找到了一個文件，它就會對其進(jìn)行加密。如果發(fā)現(xiàn)是一個新的目錄，這個過程將以該目錄為父目錄再次調(diào)用主加密函數(shù)，然后遍歷該文件夾。這個過程會持續(xù)多層，直到Babuk遍歷了每一個文件夾和文件。

Dong告訴Threatpost：

• 這是勒索軟件的基本操作方法，那些開發(fā)惡意軟件的人通常會使用這個方法，這個想法雖然很好，但要考慮到一個正常系統(tǒng)中至少有10000個文件，這又是一個很大的工作量。

勒索軟件要產(chǎn)生的線程數(shù)量通常是將受害者機(jī)器上的核心數(shù)量增加一倍，然后再分配一個數(shù)組來存儲所有的線程句柄。

Dong說：

每個進(jìn)程都有可能創(chuàng)建大量的線程，然而，在理想的情況下，每個處理器最好只運(yùn)行一個線程，以避免在加密過程中，線程之間相互競爭處理器的時間和資源。

Dong補(bǔ)充說，相比之下，Conti勒索軟件就正確地利用了多線程方法，它使每個處理器核心運(yùn)行一個線程。它的加密速度非?？?，只需不到30秒就可以加密C://驅(qū)動器。

Windows Restart Manager

Babuk還利用了微軟的Windows Restart Manager功能，它能使用戶關(guān)閉和重啟所有應(yīng)用程序和服務(wù)。勒索軟件利用的這一功能可以終止任何正在使用文件進(jìn)程。Dong表示，這可以確保沒有任何東西能阻止惡意軟件加密文件。

此前，其他常見的勒索軟件也曾利用過Windows Restart Manager，包括Conti勒索軟件(在2020年7月的一次攻擊中被發(fā)現(xiàn))和REvil勒索軟件(在2020年5月的新版本中被發(fā)現(xiàn))。

一旦所有文件被加密，Babuk的勒索信息就告訴受害者他們的計(jì)算機(jī)和服務(wù)器已經(jīng)被加密，并要求受害者使用Tor瀏覽器與他們聯(lián)系。

Tripwire安全研究高級總監(jiān)Lamar Bailey在一封電子郵件中說：

• 然而，如果受害者打算支付贖金，他們必須要在聊天過程中上傳文件，以便讓黑客解密文件，我預(yù)計(jì)解密的失敗率會相當(dāng)高。他們會賺錢嗎?當(dāng)然會。但就像許多社會潮流一樣，過不了幾個月就不流行了，他們并不會長期的獲取大量資金。

新的勒索軟件是在勒索軟件攻擊持續(xù)上升的情況下出現(xiàn)的。自2018年以來，勒索軟件攻擊數(shù)量猛增了350%。在過去的一年里，醫(yī)療系統(tǒng)受到勒索軟件攻擊的情況尤為嚴(yán)重，最近的一份報(bào)告稱，自11月份以來，針對醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)攻擊增加了45%。

本文翻譯自： https://threatpost.com/ransomware-babuk-locker-large-corporations/162836/如若轉(zhuǎn)載，請注明原文地址。