Babuk
Babuk勒索软件家族被发现于2020年初,通过钓鱼邮件和漏洞利用进行传播。采用“威胁曝光企业数据+加密数据勒索”双重勒索策略。开发针对Windows、Linux和VMware的攻击载荷。7月,Babuk勒索软件的部分数据文件被一位组织成员泄露,泄露的源代码还包含解密密钥,此后研究人员使用这些密钥为某些特定版本创建免费解密工具。泄露的内容中包含创建勒索软件的所有内容。10月,新版本使用了ProxyShell,这是一组Microsoft Exchange漏洞(CVE-2021-34473、CVE-2021-34523和CVE-2021-31207),可以连接在一起以绕过身份验证并以特权用户身份执行代码。 Babuk 勒索软件针对广泛的行业,包括医疗保健、电信、银行、金融、教育、政府和关键基础设施。据观察,它针对各种组织,包括医院、大学、大型企业和小型企业,其特征也极为特殊,会将所有被加密文件后缀修改为.babyk,并且在所有加密文件的加密内容末尾附加字符串“choung dong looks like hot dog!!!”,该字符串的意义是为了标注着勒索软件与 Babuk 有关,后经查证可能该字符串可能源于源码泄露前后某逆向工程师进行分析并在Github上公布的成果项目有关,有较高可能性为该工程师的恶趣味,并在后续勒索组织盗用后形成了该独具特色的特征。
首次出现时间:
2021年01月
攻击方法:
采用了许多常见的攻击媒介或技术,最著名的是钓鱼邮件。这些邮件旨在欺骗用户,诱使他们点击恶意链接或打开受感染的附件,从而触发恶意软件下载。它还利用了远程桌面协议和 Windows 软件或操作系统中的漏洞。这些漏洞如果修补不当,就会为网络犯罪分子提供渗透系统的后门。在发现的主要 Babuk Tortilla 样本中观察到的典型感染过程始于利用统称为 ProxyShell 的漏洞,这些漏洞影响了 Microsoft Exchange 服务器。
- CVE-2021-34473:该漏洞可能允许攻击者通过身份验证路径混淆绕过访问控制列表 (ACL),从而提供对内部服务器功能的未经授权的访问。
- CVE-2021-34523:一旦进入系统,此权限提升漏洞允许攻击者获得更多对服务器的控制权,特别是通过 Exchange PowerShell 后端。
- CVE-2021-31207:攻击者拥有提升的权限,可以将任意文件写入服务器,从而导致远程代码执行。
勒索地址:
平台一、自建暗网网站
1、登录页:
- 地址:hxxx://babukq4e2p4wu4iq.onion/login.php?id=8M60J4vCbbkKgM6QnA07E9qpkn0Qk7
- 界面:
- 解释:谈判聊天室登录页面,为早期该组织使用的暗网站点
2、谈判页面:
- 地址:hxxx://babukq4e2p4wu4iq.onion/
- 界面:
- 解释:每个聊天室都是通过随机字符串作为入口的,登录账户为该组织在勒索信中留下的随机ID
3、泄漏数据页面:
- 地址:hxxx://babukq4e2p4wu4iq.onion/* hxxx://gtmx56k4hutn3ikv.onion/*
- 界面:
- 解释:该组织的数据泄露页,综合阐述了其简介和规则,并附上了对应的受害方证据公开页面
4、常见问题页面:
- 地址:hxxx://babukq4e2p4wu4iq.onion/* hxxx://gtmx56k4hutn3ikv.onion/*
- 界面:
3. 解释:一些常见的问题在这里有答复
加密算法:
HC-128/ChaCha8 对称加密算法、椭圆曲线 Diffie-Hellman (ECDH)、SHA256 hashing等
加密钱包:
来源:Solar团队通过勒索信地址访问Mallox谈判页获取
| 钱包地址 | 详情 |
|---|---|
| bc1q4vf4nxn8mu0n0xkde5l2xj0zhmry7fgch8v5gu | - |
| 0xb9E0e99cF7F0A8e7e82D5B48251A88d25ce82BAb | - |
| 1JUToCyRL5UwgeucjnFAagKs4v1YqhjT1d | 该钱包自2023年起较为活跃,自2021年至2023年该钱包证明与Babuk有关 |
受害者勒索金额:
4MURS spsr-law Serco E.A. Gibson Shipbrokers BridgeMill Athletic Club
谈判记录:
地址:
https://www.ransomware.live/nego/babuk/20210428
概述:
受害者与黑客通过聊天框讨论了文件测试和赎金金额的协商。起初,黑客要求1比特币,但受害者认为价格过高,双方经过多次讨价还价,黑客提供了50%的折扣,最终同意500.000美元作为赎金。这场谈判主要围绕价格谈判展开,双方在多轮沟通中达成了最低500.000美元的最终协议。
结果:
未知
赎金金额:
未知
近期攻击案例:
| Date | TITLE |
|---|---|
| 2025/1/28 | INDONESIA TAXPAYER IDENTIFICATION NUMBER (NPWP) |
| 2025/1/28 | MYINDIHOME TELKOM INDONESIA by ( Babuk Locker ) |
| 2025/1/28 | MYINDIHOME TELKOM INDONESIA |
| 2025/1/28 | MYPERTAMINA INDONESIA |
| 2025/1/27 | copral.com.br |
| 2025/1/27 | alentec.com |
| 2025/1/27 | Württemberger Medien |
| 2025/1/27 | viacaojacarei.com.br |
| 2025/1/27 | gelco-s-a.com.br |
| 2025/1/27 | Kurosu & Co.SA - kurosu.com.py |
| 2025/1/27 | zapopan.gob.mx |
| 2025/1/27 | carc.gov.jo |
| 2025/1/27 | nhbg.com.co |
| 2025/1/27 | APMS ( Advanced Physician Management Service LLC |
| 2025/1/27 | a top-tier law firm in Workers Compensation Defense! |
| 2025/1/27 | precisediagnosticspacs.com |
以上信息主要为近期声称为Babuk组织(普遍命名为Babuk2)造成的攻击事件案例
变种演化:
| 时间 | 后缀名 | 备注 |
|---|---|---|
| 2021年1月 | .babyk | 初始版本使用的后缀名。 |
| 2021年4月 | .babuk | 在攻击华盛顿特区警察局后,部分变种开始使用此后缀。 |
| 2021年9月 | .doydo | 源代码泄露后,出现了使用此后缀的变种。 |
| 2022年 | .babyk | 部分新变种回归使用早期的.babyk后缀。 |
| 2023年 | .babuk2 | 新变种采用的后缀名,可能用于区分于早期版本。 |
| 2024年 | .babuk3 | 最新变种使用的后缀名,表明持续的演变和更新。 |
IOC 信息
| 类型 | 详情 |
|---|---|
| IP | 20.99.184.37 |
| IP | 239.255.255.250 |
| SHA256 | 8203c2f00ecd3ae960cb3247a7d7bfb35e55c38939607c85dbdb5c92f0495fa9 |
| MD5 | e10713a4a5f635767dcd54d609bed977 |
| Mutex | DoYouWantToHaveSexWithCuongDong |
