Babuk
Babuk勒索软件家族被发现于2020年初,通过钓鱼邮件和漏洞利用进行传播。采用“威胁曝光企业数据+加密数据勒索”双重勒索策略。开发针对Windows、Linux和VMware的攻击载荷。7月,Babuk勒索软件的部分数据文件被一位组织成员泄露,泄露的源代码还包含解密密钥,此后研究人员使用这些密钥为某些特定版本创建免费解密工具。泄露的内容中包含创建勒索软件的所有内容。10月,新版本使用了ProxyShell,这是一组Microsoft Exchange漏洞(CVE-2021-34473、CVE-2021-34523和CVE-2021-31207),可以连接在一起以绕过身份验证并以特权用户身份执行代码。 Babuk 勒索软件针对广泛的行业,包括医疗保健、电信、银行、金融、教育、政府和关键基础设施。据观察,它针对各种组织,包括医院、大学、大型企业和小型企业,其特征也极为特殊,会将所有被加密文件后缀修改为.babyk,并且在所有加密文件的加密内容末尾附加字符串“choung dong looks like hot dog!!!”,该字符串的意义是为了标注着勒索软件与 Babuk 有关。
首次出现时间:
2021年01月
攻击方法:
采用了许多常见的攻击媒介或技术,最著名的是钓鱼邮件。这些邮件旨在欺骗用户,诱使他们点击恶意链接或打开受感染的附件,从而触发恶意软件下载。它还利用了远程桌面协议和 Windows 软件或操作系统中的漏洞。这些漏洞如果修补不当,就会为网络犯罪分子提供渗透系统的后门。在发现的主要 Babuk Tortilla 样本中观察到的典型感染过程始于利用统称为 ProxyShell 的漏洞,这些漏洞影响了 Microsoft Exchange 服务器。
- CVE-2021-34473:该漏洞可能允许攻击者通过身份验证路径混淆绕过访问控制列表 (ACL),从而提供对内部服务器功能的未经授权的访问。
- CVE-2021-34523:一旦进入系统,此权限提升漏洞允许攻击者获得更多对服务器的控制权,特别是通过 Exchange PowerShell 后端。
- CVE-2021-31207:攻击者拥有提升的权限,可以将任意文件写入服务器,从而导致远程代码执行。
勒索地址:
暂未信息
加密算法:
HC-128/ChaCha8 对称加密算法、椭圆曲线 Diffie-Hellman (ECDH)、SHA256 hashing等
加密钱包:
来源:Solar团队通过勒索信地址访问Mallox谈判页获取
bc1q4vf4nxn8mu0n0xkde5l2xj0zhmry7fgch8v5gu
0xb9E0e99cF7F0A8e7e82D5B48251A88d25ce82BAb
受害者勒索金额:
4MURS spsr-law Serco E.A. Gibson Shipbrokers BridgeMill Athletic Club
谈判记录:
地址:
https://www.ransomware.live/nego/babuk/20210428
概述:
受害者与黑客通过聊天框讨论了文件测试和赎金金额的协商。起初,黑客要求1比特币,但受害者认为价格过高,双方经过多次讨价还价,黑客提供了50%的折扣,最终同意500.000美元作为赎金。这场谈判主要围绕价格谈判展开,双方在多轮沟通中达成了最低500.000美元的最终协议。
结果:
未知
赎金金额:
未知
近期攻击案例:
暂未信息
变种演化:
| 时间 | 后缀名 | 备注 |
|---|---|---|
| 2021年1月 | .babyk | 初始版本使用的后缀名。 |
| 2021年4月 | .babuk | 在攻击华盛顿特区警察局后,部分变种开始使用此后缀。 |
| 2021年9月 | .doydo | 源代码泄露后,出现了使用此后缀的变种。 |
| 2022年 | .babyk | 部分新变种回归使用早期的.babyk后缀。 |
| 2023年 | .babuk2 | 新变种采用的后缀名,可能用于区分于早期版本。 |
| 2024年 | .babuk3 | 最新变种使用的后缀名,表明持续的演变和更新。 |
IOC 信息
| 类型 | 详情 |
|---|---|
| IP | 20.99.184.37 |
| IP | 239.255.255.250 |
| SHA256 | 8203c2f00ecd3ae960cb3247a7d7bfb35e55c38939607c85dbdb5c92f0495fa9 |
| MD5 | e10713a4a5f635767dcd54d609bed977 |
18363040868
