新的一年,新型勒索软件Babuk Locker开始针对大型企业进行攻击
新年刚过没几天,人们就发现了2021年的第一批新型勒索软件。根据最新的研究,到目前为止,一个名为Babuk Locker的勒索软件似乎已经成功入侵了五家公司。
研究人员是佐治亚理工学院的计算机科学学生Chuong Dong,他说,他是在推特上一位名叫 "Arkbird "的安全研究人员的推文中第一次看到这个勒索软件的。随后,他在一个分享漏洞和泄密数据库的论坛RaidForums上发现了Babuk的相关信息。
Dong表示,根据Babuk勒索说明中提到的网站,以及RaidForums泄露的有关信息,可以证明该勒索软件已经成功入侵了全球五家不同的公司。根据BleepingComputer的报告,这些受害公司其中至少有一家已经同意支付8.5万美元的赎金。
Dong说:
- 虽然Babuk有很多不成熟的攻击特性,但它也有非常多新颖的技巧,特别是在加密和利用Windows功能方面。
Dong在本周的分析中说:
- Babuk是一种新型的勒索软件,始于今年年初,尽管采用了很不规范的编码手法,但其利用椭圆曲线Diffie-Hellman算法的强加密方案,从目前的结果来看,确实是对很多公司的攻击是有效的。
Babuk的特征
该勒索软件是以32位.EXE文件的形式出现的,很明显它没有做混淆加密保护。目前也还不清楚该勒索软件最初是如何传播给受害者的。
Dong告诉Threatpost:
- 到目前为止,我们还不知道勒索软件是如何进入公司的,但很有可能是勒索软件集团通过网络钓鱼这一途径实现的。
在被勒索软件加密前,Babuk中包含的服务和进程列表中所对应的进程和服务都会被关闭。其中包括各种系统监控服务,比如BackupExecVSSProvider、YooBackup和BackupExecDiveciMediaService。在进程方面,Babuk会终止31个进程,包括sql.exe,oracle.exe和outlook.exe。
Dong向Threatpost解释说:
- 关闭应用程序对于攻击来说是很有必要的,因为当勒索软件运行时,这些应用程序可能会打开文件,如果一个应用程序已经打开了一个文件,勒索软件就不能在次打开它,那么攻击就会失败。
加密方式
值得注意的是Babuk采用的加密机制:它在攻击中使用自己实现的SHA哈希、ChaCha8加密和椭圆曲线Diffie-Hellman(ECDH)密钥生成交换算法来对文件进行加密,这使得受害者几乎不可能将文件进行恢复。
Dong说:
由于ECDH的机制,勒索软件作者可以使用自己的私钥和受害者的公钥生成共享秘钥来解密文件,这使得受害者不可能自行解密文件,除非他们能够在恶意软件完成加密之前找到生成的随机私钥。
Sophos研究人员表示:
Babuk还使用了多线程。为了能让进程并行执行,提高系统利用率,许多计算机中都包含一个或多个多核的CPU。像Babuk这样可以利用多线程的勒索软件,能够将单个任务并行化,以确保在受害者发现他们受到攻击之前,可以造成更大的破坏。
不过,Dong表示,该勒索软件的"多线程方法非常简单"。
他说,首先,它的多线程进程会使用递归来遍历文件。这个过程会从最高目录(例如C://驱动器)的一个线程开始,在主加密功能中,程序将遍历父目录中的每一个项目。如果找到了一个文件,它就会对其进行加密。如果发现是一个新的目录,这个过程将以该目录为父目录再次调用主加密函数,然后遍历该文件夹。这个过程会持续多层,直到Babuk遍历了每一个文件夹和文件。
Dong告诉Threatpost:
- 这是勒索软件的基本操作方法,那些开发恶意软件的人通常会使用这个方法,这个想法虽然很好,但要考虑到一个正常系统中至少有10000个文件,这又是一个很大的工作量。
勒索软件要产生的线程数量通常是将受害者机器上的核心数量增加一倍,然后再分配一个数组来存储所有的线程句柄。
Dong说:
每个进程都有可能创建大量的线程,然而,在理想的情况下,每个处理器最好只运行一个线程,以避免在加密过程中,线程之间相互竞争处理器的时间和资源。
Dong补充说,相比之下,Conti勒索软件就正确地利用了多线程方法,它使每个处理器核心运行一个线程。它的加密速度非常快,只需不到30秒就可以加密C://驱动器。
Windows Restart Manager
Babuk还利用了微软的Windows Restart Manager功能,它能使用户关闭和重启所有应用程序和服务。勒索软件利用的这一功能可以终止任何正在使用文件进程。Dong表示,这可以确保没有任何东西能阻止恶意软件加密文件。
此前,其他常见的勒索软件也曾利用过Windows Restart Manager,包括Conti勒索软件(在2020年7月的一次攻击中被发现)和REvil勒索软件(在2020年5月的新版本中被发现)。
一旦所有文件被加密,Babuk的勒索信息就告诉受害者他们的计算机和服务器已经被加密,并要求受害者使用Tor浏览器与他们联系。
Tripwire安全研究高级总监Lamar Bailey在一封电子邮件中说:
- 然而,如果受害者打算支付赎金,他们必须要在聊天过程中上传文件,以便让黑客解密文件,我预计解密的失败率会相当高。他们会赚钱吗?当然会。但就像许多社会潮流一样,过不了几个月就不流行了,他们并不会长期的获取大量资金。
新的勒索软件是在勒索软件攻击持续上升的情况下出现的。自2018年以来,勒索软件攻击数量猛增了350%。在过去的一年里,医疗系统受到勒索软件攻击的情况尤为严重,最近的一份报告称,自11月份以来,针对医疗机构的网络攻击增加了45%。
本文翻译自: https://threatpost.com/ransomware-babuk-locker-large-corporations/162836/如若转载,请注明原文地址。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Adobe Flash Player正式退出历史舞台
结束了!Adobe Flash Player无法运行,正式退出历史舞台,是时候彻底卸载该程序了。 在2017年7月Adobe,Apple,Microsoft,Google和Mozilla的公告中,我们了解到Adobe Flash Player将于2020年12月31日正式到期。 当Adobe 在12月发布最终版本的Flash Player时,他们还宣布该软件的最新版本包含一个kill开关,该开关可防止Flash Player从2021年1月12日开始加载Flash内容。 如今时限已到,由于flashplayer不再运行Flash内容,是时候卸载软件了。 现在,当您尝试打开Flash内容(大多数浏览器默认情况下会自动阻止它们)时,Flash Player将显示以下图标,当您单击它时,它将打开Adobe F lash Player寿命终止页面。 Flash阻止内容加载 Flash Player运行良好,是帮助创建Web的核心技术之一。不幸的是,这对于安装它的用户来说也是一个安全噩梦,因为威胁攻击者通常将其作为攻击目标。 尽管可以通过安装较旧的Adobe Flash Player版本使Fla...
- 下一篇
伊朗黑客借DoH“隐身”,NSA建议企业使用“指定的”DNS解析器
“DoH不是万能的,这一协议给公司带来了虚假的安全感。“ 注:加密的域名系统(DNS)技术即DNS over HTTPS(DoH)。 将域名转换为Internet上的IP地址的DHS越来越成为攻击者的流行攻击媒介。此前,伊朗Oilrig的黑客组织甚至成为第一个将DNS-over-HTTPS(DoH)协议纳入其攻击武器的威胁者。在此背景下,美国国家安全局(NSA)发布了有关安全部署DoH的新指南,即在企业环境中采用加密DNS。 常见的企业DNS体系工作机制 威胁在于,DoH并不能完全阻止威胁参与者看到用户的流量,当部署在网络内部时,它甚至可以用来绕过许多依赖于嗅探明文DNS流量来检测威胁的安全工具。再者,许多具有DoH功能的DNS解析器服务器是在脱离企业控制和审计能力的外部进行托管。而GitHub上发布的免费工具也使得攻击者劫持加密DoH连接,以此隐藏窃取的数据和绕过基于DNS的经典防御软件变得非常常见。 因此,NSA强调,希望企业避免使用第三方解析器,而是仅使用其指定的DNS解析器来处理DNS流量。因为第三方解析器可能会将其数据置于危险之中。 如果企业部署不当,那么攻击者很可能会利用这...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS7设置SWAP分区,小内存服务器的救世主
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS8编译安装MySQL8.0.19
- Linux系统CentOS6、CentOS7手动修改IP地址
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合Thymeleaf,官方推荐html解决方案