Bir tehdit aktör, Rus konuşan bir hack forumunda Babuk Ransomware için tam kaynak kodunu sızdırdı.
Babyk olarak dahili olarak da bilinen Babuk Locker, 2021'in başında başlatılan bir fidye yazılımı operasyonu, işletmelerinin çifte gasp ataklarında çalmasını ve şifrelemelerini hedeflemeye başladığında.
Washington DC'nin Metropolitan Polis Departmanı'na (MPD) saldırdıktan ve ABD KAĞIDET İŞLETMESİNDEN HAYIRLIĞI, RANSOMWARE çetesi operasyonlarını kapattığını iddia etti.
Bununla birlikte, aynı grubun üyeleri, fidye yazılımını bu gün kurbanları şifrelemeye devam ettikleri Babuk v2 olarak yeniden çekmek için ayrıldı.
İlk olarak Güvenlik Araştırma Grubu VX-Yeraltı tarafından fark edildiği gibi, Babuk Group'un iddia edilen bir üyesi, popüler bir Rus konuşan hack forumunda fidye yazılımı için tam kaynak kodunu çıkardı.
Bu üye terminal kanserinden muzdarip olduğunu iddia etti ve "insan gibi yaşamak zorunda kalırken" kaynak kodunu serbest bırakmaya karar verdi.
Kaçak olan her şeyi içerdiğinden, bir tehdit aktörünün işlevsel bir fidye yazılımı oluşturması gerektiği gibi, BleepingComputer, kaynak kodundaki bağlantıları düzeltir.
Paylaşılan dosya, aşağıda gösterildiği gibi VMware ESXI, NAS ve Windows şifreleme için farklı Visual Studio Babuk Ransomware projeleri içerir.
Windows klasörü, Windows Encryptor, Decryptor için tam kaynak kodunu içerir ve özel ve ortak anahtar jeneratörü gibi görünür.
Örneğin, Windows Encryptör'teki şifreleme rutininin kaynak kodu aşağıda görülebilir.
EMSISOFT CTO ve Ransomware Expert Fabian Wosar ve McAfee Enterprise'teki araştırmalar, her ikisinin de sızıntının meşru göründüğünü söyledi. Wosar ayrıca, sızıntının geçmiş mağdurlar için şifre çözme anahtarları içerebileceğini de belirtti.
Babuk Ransomware, şifreleme rutininin bir parçası olarak eliptik eğri şifreleme (ECC) kullanır. Sızıntıya dahil edilen, fidyeware çetesinin spesifik kurbanları için şifrelenmiş şifreleme ve şifre çözücüleri içeren klasörlerdir.
Wosar, BleepingComputer'a bu klasörlerin, bu kurbanlar için ECC şifre çözme tuşları olabilecek eğri dosyaları içerdiğini söyledi, ancak henüz onaylanmadı.
Toplamda, olası şifre çözme tuşlarını içeren eğri dosyaları olan 15 klasör vardır.
Babuk Locker, Grup'un kıymıklığına yol açan ihanet ve geri izleme içeren bir kuyudi ve kamuoyuna sahiptir.
BleepingComputer, Babuk Ransomware çete üyelerinden birinden, Grubun Washinton DC'nin Büyükşehir Polis Bölümü'ne (MPD) saldırısından sonra bölündüğünü öğrenmiştir.
Saldırıdan sonra, 'Yönetici', tanıtım için MPD verilerini sızdırmak istediğinde, diğer çete üyeleri buna karşı çıktı.
"Biz iyi beyler değiliz, ama bizim için bile çok fazlaydı.)" Babuk tehdidi aktör
Veri sızıntısından sonra, grup rampa siber suçu forumunu oluşturan orijinal yönetici ve RangeWware saldırıları yapmaya devam ettikleri Babuk v2'yi başlatan Gerisi.
Yönetici rampa CyberCrime forumunu başlattıktan hemen sonra, yeni siteyi kullanılamaz hale getirmek için bir dizi DDOS saldırısı geçirdi. Yönetici, eski ortaklarını bu saldırılar için suçluyorken, Babuk V2 ekibi BleepingComputer'a sorumlu olmadıklarını söyledi.
"Eski yöneticiyi tamamen unuttuk. Forumu ile ilgilenmiyoruz" dedi.
Grup'un tartışmalarına eklemek için, bir Babuk Ransomware Builder, bir dosya paylaşım sitesinde sızdırılmış ve kendi fidye yazılımı işlemlerini başlatmak için başka bir grup tarafından kullanıldı.
Babuk'un geri dönüş ve ihanetlerin hikayeleri ile yalnız olmadığı anlaşılıyor.
Wosar, tehdit aktörlerinin onunla iletişim kurması için bir Jabber hesabı kurduktan sonra, ortakları tarafından "haksızlığını" hissettiren tehdit aktörlerinden Intel aldığını ve intikamda bilgi sızdırmaya karar verdiğini tweetledi.
Wosar, BleepingComputer'a devam eden fidye yazılımı saldırılarını önlemek için bu zekayı kullanabildiğini söyledi.
Güncelleme 9/3/21: McAfee Enterprise, kaynak kodunun meşru olduğunu da doğruladı.
Ransomware'de Hafta - 3 Eylül 2021 - Hedefleme Değişimi
Blackmatter Ransomware'in Linux versiyonu VMware ESXI sunucularını hedefler
Ransomware haftası - 30 Temmuz 2021 - 1 milyar Euro tasarrufu
Ransomware'deki Hafta - 16 Temmuz 2021 - Yeniden Vakit Kayboluyor
Hellokitty Ransomware Hedefleri VMware ESXI Sunucularının Linux versiyonu
Kaynak: Bleeping Computer