Babuk勒索软件取得尚意,但非常危险
尽管有一些明显的缺点,但迅速新兴的Babuk赎金软件正在成为旨在精心精心选择的垂直的严重威胁,包括医疗保健,制造和物流,并且已经通过McAfee的MVISION服务的新洞察力根据新的Insight,已经净了数千美元的赎金支付。
迄今为止,众所周知,Babuk已达到五个组织,其中勒索勒索勒索遭受攻击双重裁员 - 外包商Serco - 并从受害者中达到至少85,000美元。与许多其他人一样,它在赎金软件的服务(RAAS)模型上运行,那里附属公司在开发人员获得削减时肮脏的工作。
虽然不是最复杂的赎金瓦斯 - 一个研究人员描述了它的编码,因为特定的说明是与VASA储物柜组的明确连接,BABUK的CODEBASE和丢弃的人工制品(如赎金笔记)承载某些相似之处,建议两者之间的联系ransomwares,可能是他们身后的团队。
McAfee评估了这些相似之处,以及相当沼泽标准的加密功能,一些明显的错误和缺乏混淆,表明Babuk集团有“限量赎金软件编码体验”。它似乎也没有包含任何本地语言检查 - 其他瑞马航空公司经常倾向于避免他们发现的设备位于俄罗斯或其他前苏联国家。
然而,事情正在迅速发展,研究团队表示,在过去的几周内发现了一个新的变体,改进了赎金软件性能的某些方面,也发现了一个包装的版本。
McAfee表示,就他们的Modus Operandi而言,Babuk背后的网络罪犯正在使用类似的策略,技术和程序(TTPS)作为其他Raas系列。
这些包括利用各种流行的入口向量进入其目标环境。这些可以包括:电子邮件网络钓鱼,其中初始电子邮件链接到不同的恶意软件应变 - Trickbot,或者直到最近,作为示例 - 作为装载机的示例;利用公开披露但未被解密的常见漏洞和暴露(CVES),特别是在远程访问软件,Web服务器,网络边缘硬件和防火墙中;例如,使用有效的账户,经常通过弱保护的远程桌面协议(RDP)访问,例如通过商品infosteAlers获得的凭据进行凭证。
在其关于Babuk的完整报告中,可以在这里下载,McAfee团队注意到捍卫者应该了解的一些进一步积分。
值得注意的是,其招聘广告专门寻求具有渗透测试技能的杀戮,因此安全团队应该警惕与一些开源穿透测试工具相关的任何痕迹或行为,例如Winpease,血腥和斑点,或者是钴剧等黑客架构或者metasploit。
它也值得关注可能具有双重使用的非恶意工具的意外行为,例如adfine,psexec或powershell。
此外,如前所述,虽然Babuk Gang表示,但他们从他们的攻击中排除某些类型的组织,例如慈善部门组织,他们表达了对LGBTQ +组织的负面情绪,或与黑人生活相关的人。
明确指标的同性恋和种族主义情绪不仅提供了禁止抑制司法管辖权的线索,而且从网络犯罪团伙之前没有看到迈克菲。因此,这是一个新的发展,捍卫者为社会正义与社会正义的动作有关的组织应该特别警惕。