O que é Babuk Locker? A gangue de ransomware que você deve conhecer
Desde o seu início, o código de ransomware do Babuk Locker provou ser altamente eficaz. E apesar do grupo ter anunciado recentemente sua retirada dos ataques focados em ransomware, seu crescimento como gangue do crime cibernético está longe de terminar.
O que é ransomware?
Para entender a gangue do Babuk Locker, é preciso entender o que é ransomware .
Ransomware é um tipo de malware que visa os dados das vítimas. É aproveitado por ciberataques para negar às vítimas o acesso aos seus dados de rede por meio de processos de criptografia. Depois que um invasor aproveita com sucesso o ransomware, o invasor usa a promessa de uma chave de descriptografia para fazer as vítimas pagarem um resgate. As chaves do descriptografador permitem que os arquivos criptografados da vítima se tornem acessíveis. Como resultado, quando o ransomware nega a uma vítima o acesso a dados críticos, ela geralmente está disposta a pagar um resgate.
Como muitos alvos de ransomware estão dispostos a fazer pagamentos a invasores, a frequência dos ataques de ransomware explodiu . De acordo com o statista.com , somente em 2020, os ataques de ransomware aumentaram 62% em relação ao ano anterior.
Alvos de Babuk
De acordo com um post publicado pelo próprio Babuk Locker em raidforum.com (nome de usuário biba99), Babuk não tem como alvo hospitais, organizações sem fins lucrativos, pequenas universidades / faculdades ou empresas cuja receita anual seja inferior a US $ 4 milhões.
Embora esta política ofereça alguma garantia para proprietários de pequenas empresas e organizações, ela implica que o grupo está disposto a visar grandes empresas e organizações governamentais. Até agora, a organização provou sua disposição de atacar organizações governamentais. Em abril de 2021, eles assumiram a responsabilidade por um ataque à rede da Polícia de Washington DC.
Além de visar grandes empresas, o Babuk Locker favorece empresas com seguro de ransomware. Depois que um ataque bem-sucedido for executado, o grupo perguntará aos alvos se eles têm seguro contra ransomware. Presumivelmente, a presença de seguro de ransomware permite ao grupo exigir um preço de resgate mais alto.
Como o Babuk Locker Ransomware se espalha?
O Babuk Locker entra nas redes por meio de hosts voltados para a Internet que possuem contas com altos privilégios administrativos. Após a entrada inicial em uma rede, é evidente que Babuk não criptografa imediatamente os arquivos de um alvo.
Babuk freqüentemente libera informações confidenciais de arquivos de seus alvos. Isso significa que antes de uma carga útil de criptografia, Babuk Locker classifica os arquivos de um alvo para extrair informações valiosas para uso posterior.
Executando a Carga Útil
Quando a carga útil do ransomware Babuk Locker é executada, ela começa suspendendo os serviços e processos que impediriam a capacidade do código de criptografar os dados. Serviços e processos associados a programas de backup, programas de varredura de vírus, etc., são encerrados antes do início da criptografia de dados.
Depois que os serviços e processos necessários são encerrados, o código determina o tipo de disco do host de destino. A determinação do tipo de disco de um host permite que a localização das fontes de dados seja descoberta e aumenta o alcance do código do ransomware.
Quando a localização dos dados é determinada em um host de destino, os arquivos nos diretórios de um host são consultados. Para garantir que um destino manterá o acesso à Internet e à rede, certos arquivos são excluídos da criptografia enquanto outros são anexados com uma extensão .babyk .
Depois de criptografar todos os arquivos necessários em um diretório, é criado um arquivo de texto (.txt) que contém uma nota para o destino. O arquivo também inclui instruções para que o alvo faça contato com o grupo. Depois que um alvo faz contato com a organização, Babuk Locker prova boa fé ao descriptografar preventivamente alguns dos arquivos do alvo. Em seguida, o grupo descreve suas demandas de pagamento, muitas vezes exigindo o pagamento na forma de Bitcoin.
Ransomware como serviço
A gangue Babuk Locker utiliza estratégias de ataque Ransomware as a Service (RaaS). Os produtos RaaS operam de maneira semelhante aos produtos SaaS (Software as a Service). Com os produtos SaaS, uma empresa aluga acesso a um produto de software legítimo.
A empresa pode então usar o software sem a responsabilidade de gerenciá-lo. A lucratividade e a facilidade do modelo SaaS levaram à sua apropriação por gangues de ransomware. Em troca de acesso ao código dos desenvolvedores de ransomware, os atacantes afiliados pagam uma taxa de acesso inicial e uma porcentagem de seus lucros de resgate para gangues de ransomware.
Os benefícios financeiros e de segurança de um modelo RaaS ajudam a explicar por que atores de ameaças, como Babuk Locker, iniciam campanhas de ataque. Quando o Babuk Locker executa um ataque bem-sucedido, os atacantes afiliados estão dispostos a comprar os kits de ransomware do Babuk. Além disso, quando os compradores dos kits de ransomware do Babuk executam ataques bem-sucedidos, Babuk recebe uma porcentagem dos lucros sem ter que ser responsável pelo trabalho sujo.
Uma mudança no modelo RaaS de Babuk Locker
Ainda assim, o Babuk Locker pode não ter a capacidade de lucrar com um modelo RaaS. De acordo com a Emisoft , a chave de descriptografia de Babuk danifica arquivos em um ambiente VMware ESXi. O descriptografador de Babuk não contém um mecanismo para detectar se um arquivo está criptografado. Isso resulta em arquivos não criptografados sendo descriptografados, causando a perda total do arquivo.
Sem um descriptografador eficaz para o código de ransomware de Babuk, as organizações não estariam dispostas a pagar uma taxa de resgate. Em outras palavras, o bug do descriptografador de Babuk Locker o tornaria ineficaz para uso por atacantes afiliados.
Além de um descriptografador falho, a decisão de Babuk de usar seu código para atacar um alvo de alto perfil, o Departamento de Polícia de Washington, DC, chamou muita atenção para seu código e organização. Isso pode explicar porque o grupo anunciou recentemente sua intenção de abandonar o modelo RaaS.
No site Tor do grupo, ele anunciou sua intenção de encerrar o programa de ataque afiliado do grupo e tornar seu ransomware disponível abertamente. O grupo mudará seu modelo de negócios para uma nova forma de extorsão de dados. Em vez de criptografar os arquivos das organizações, o grupo roubará dados e forçará as empresas a pagar para que os dados não sejam divulgados.
Prevenindo um Ataque do Babuk Locker
Prevenir um ataque ao Babuk Locker requer que as organizações se alinhem com as melhores práticas gerais de prevenção de ransomware. Algumas práticas recomendadas são: limitar a probabilidade de comprometimento de contas, criptografar dados confidenciais, segmentação de rede e patching robusto. Além disso, quando possível, as organizações devem evitar o pagamento de gangues de ransomware.
Mesmo quando um pagamento de resgate é feito, não há garantia de que os descriptografadores fornecidos por um invasor restaurarão os arquivos de uma organização.
