事件概述

萬(wàn)惡的2020剛剛過(guò)去，新的一年已經(jīng)到來(lái)。但是，“好景不長(zhǎng)”！對(duì)于網(wǎng)絡(luò)安全生態(tài)系統(tǒng)來(lái)說(shuō)，隨著新年一起到來(lái)的還有一款名為Babuk Locker的新型勒索軟件，而這款勒索軟件的主要目標(biāo)是人為網(wǎng)絡(luò)攻擊活動(dòng)中的一些目標(biāo)用戶或企業(yè)組織。

實(shí)際上，Babuk Locker是一個(gè)新出現(xiàn)的勒索軟件攻擊活動(dòng)，該活動(dòng)于2021年初正式啟動(dòng)，并且已經(jīng)收集了來(lái)自全世界各個(gè)國(guó)家和地區(qū)的一小部分目標(biāo)用戶名單。

根據(jù)安全研究人員的調(diào)查發(fā)現(xiàn)，從Babuk Locker跟目標(biāo)用戶談判的數(shù)據(jù)贖金金額來(lái)看，網(wǎng)絡(luò)犯罪分子所要求的數(shù)據(jù)贖金從六萬(wàn)美金到八萬(wàn)五千美金不等，支付形式跟以前一樣，還是那個(gè)近期出現(xiàn)暴漲的比特幣。

據(jù)悉，目前已經(jīng)有五個(gè)已知的受害企業(yè)，至少有一個(gè)企業(yè)同意支付八萬(wàn)五千美元的贖金。除此之外，Babuk Locker在黑客論壇上發(fā)帖稱他們很快將啟動(dòng)一個(gè)專門(mén)的數(shù)據(jù)泄漏站點(diǎn)。

Babuk Locker是如何加密目標(biāo)設(shè)備和數(shù)據(jù)的呢？

BleepingComputer的研究人員在對(duì)每一個(gè)Babuk Locker可執(zhí)行程序進(jìn)行分析之后，他們發(fā)現(xiàn)網(wǎng)絡(luò)攻擊者竟然對(duì)每一個(gè)目標(biāo)用戶都使用的是定制化的Babuk Locker，其中還包含了硬編碼擴(kuò)展名、數(shù)據(jù)贖金通知以及一條Tor目標(biāo)用戶URL地址。

安全研究專家Chuong Dong也對(duì)這款新型的勒索軟件進(jìn)行了分析，根據(jù)他的發(fā)現(xiàn)，Babuk Locker這款勒索軟件的編碼其實(shí)是非常業(yè)余的。話雖如此，但這款勒索軟件仍然具備安全加密以及防止目標(biāo)用戶免費(fèi)恢復(fù)自己文件的功能。

安全研究專家Chuong Dong在其發(fā)布的安全分析報(bào)告中說(shuō)到：“雖然這款勒索軟件的編碼實(shí)現(xiàn)方式非常的業(yè)余，但它居然采用了橢圓曲線Diffie-Hellman算法的強(qiáng)加密方案，而這種加密機(jī)制迄今已被證明能有效地攻擊許多用戶和公司組織。”

當(dāng)Babuk Locker勒索軟件啟動(dòng)之后，網(wǎng)絡(luò)攻擊者可以使用一個(gè)命令行參數(shù)來(lái)控制勒索軟件的加密行為，他們可以選擇直接加密網(wǎng)絡(luò)共享文件，或直接加密本地文件系統(tǒng)中的數(shù)據(jù)文件。下面給出的是Babuk Locker勒索軟件控制相關(guān)加密行為的命令行參數(shù)：

-lanfirst
-lansecond
-nolan

研究人員通過(guò)分析發(fā)現(xiàn)，Babuk Locker勒索軟件在啟動(dòng)之后，會(huì)終止目標(biāo)Windows系統(tǒng)中的各種服務(wù)和進(jìn)程，以確保相關(guān)文件的打開(kāi)狀態(tài)并防止被加密。在這一步操作中，Babuk Locker勒索軟件會(huì)終止的程序包括數(shù)據(jù)庫(kù)服務(wù)器、郵件服務(wù)器、備份軟件、郵件客戶端和Web瀏覽器等等。

在對(duì)目標(biāo)文件進(jìn)行加密的時(shí)候，Babuk Locker勒索軟件會(huì)將硬編碼的擴(kuò)展名追加到每一個(gè)被加密的目標(biāo)文件中，具體如下圖所示。當(dāng)前版本的Babuk Locker勒索軟件針對(duì)所有目標(biāo)用戶使用的硬編碼擴(kuò)展名為“.NIST_K571”：

在對(duì)目標(biāo)文件系統(tǒng)進(jìn)行了加密之后，Babuk Locker勒索軟件會(huì)在每一個(gè)被加密的文件夾中存放一個(gè)名為“How To Restore Your Files.txt”的勒索信息文件，這個(gè)勒索信息文件中包含了整個(gè)勒索攻擊過(guò)程中發(fā)生的全部事情的基本信息以及一個(gè)指向Tor網(wǎng)站的地址，目標(biāo)用戶需要通過(guò)這個(gè)Tor站點(diǎn)來(lái)跟勒索軟件攻擊者協(xié)商數(shù)據(jù)贖金的具體金額以及支付方式。

BleepingComputer的研究人員在對(duì)Babuk Locker勒索軟件進(jìn)行分析的過(guò)程中，發(fā)現(xiàn)有其中一個(gè)勒索信息文件中包含了目標(biāo)用戶的姓名，以及攻擊者在攻擊過(guò)程中竊取的未加密文件的截圖，并以此作為證據(jù)證明攻擊者已經(jīng)成功對(duì)其進(jìn)行了攻擊。

Babuk Locker勒索軟件的攻擊者用于跟目標(biāo)用戶協(xié)商數(shù)據(jù)贖金的Tor站點(diǎn)比較簡(jiǎn)單，只是包含了一個(gè)聊天界面，目標(biāo)用戶可以在這個(gè)聊天界面中與勒索軟件攻擊者交談并協(xié)商數(shù)據(jù)贖金。在談判的過(guò)程中，勒索軟件攻擊者會(huì)詢問(wèn)目標(biāo)用戶是否購(gòu)買(mǎi)了網(wǎng)絡(luò)保險(xiǎn)，或者是否跟勒索軟件數(shù)據(jù)恢復(fù)公司有合作。下圖顯示的是Babuk Locker勒索軟件攻擊者與目標(biāo)用戶的Tor聊天記錄：

Babuk Locker勒索軟件攻擊者還會(huì)要求目標(biāo)用戶提供自己的%AppData%\ecdh\u pub\u k.bin文件，而這個(gè)文件中包含的是目標(biāo)用戶的橢圓曲線Diffie-Hellman算法的公共密鑰，這個(gè)密鑰將允許攻擊者對(duì)目標(biāo)用戶的文件進(jìn)行測(cè)試解密或提供解密程序。

但不幸的是，這款勒索軟件所使用的ChaCha8和橢圓曲線Diffie-Hellman（ECDH）算法確保了Babuk Locker勒索軟件的“絕對(duì)”安全，因此目前還無(wú)法免費(fèi)解密數(shù)據(jù)。

通過(guò)黑客論壇來(lái)泄露被盜數(shù)據(jù)

在勒索軟件攻擊活動(dòng)中，一種常見(jiàn)的勒索軟件策略是在加密網(wǎng)絡(luò)設(shè)備之前從目標(biāo)用戶那里竊取未加密的數(shù)據(jù)。勒索軟件攻擊者如果采用的是雙重勒索策略的話，那么如果目標(biāo)用戶拒絕支付贖金，那么他們就會(huì)威脅將竊取到的數(shù)據(jù)公之于眾。

在這種情況下，大多數(shù)使用這種策略的勒索軟件活動(dòng)都會(huì)創(chuàng)建一個(gè)公開(kāi)可訪問(wèn)的勒索軟件數(shù)據(jù)泄漏站點(diǎn)來(lái)發(fā)布被盜數(shù)據(jù)。

不過(guò)，Babuk Locker勒索軟件目前已經(jīng)在利用黑客論壇來(lái)泄露他們成功盜取的數(shù)據(jù)了。目前，已經(jīng)有五個(gè)全球范圍內(nèi)都著名的受害者了，其中包括：

1、電梯和自動(dòng)扶梯公司
2、辦公家具制造商
3、汽車(chē)零件制造商
4、醫(yī)療檢測(cè)產(chǎn)品制造商
5、美國(guó)的一家空調(diào)和供暖公司

而且，其中至少有一個(gè)企業(yè)同意支付了八萬(wàn)五千美元的數(shù)據(jù)贖金。

在這個(gè)黑客論壇的其中一篇帖子內(nèi)，Babuk Locker勒索軟件背后的攻擊者表示，他們很快便會(huì)上線一個(gè)專門(mén)用于發(fā)布泄露數(shù)據(jù)的網(wǎng)站。