laptop-2450220_1280.jpg

Babuk Locker é o primeiro novo ransomware corporativo de 2021

Negociações de resgate com vítimas do ransomware revela que as demandas variaram de US$ 60 mil a US$ 85 mil
Da Redação
20/01/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Pesquisadores de segurança identificaram um novo ransomware operado por hackers que visa vítimas corporativas. Denominado Babuk Locker, trata-se de um malware descoberto logo no início deste ano e, desde então, acumulou uma pequena lista de vítimas em todo o mundo. 

De acordo com o site BleepingComputer, que acompanhou negociações de resgate com vítimas do ransomware, as demandas variaram de US$ 60 mil a US$ 85 mil, em valores equivalentes em bitcoin. 

De acordo com o pesquisador de segurança Chuong Dong, que analisou o novo ransomware, a codificação do Babuk Locker é amadora, mas inclui criptografia segura que evita que as vítimas recuperem seus arquivos sem pagar resgate. “Apesar das práticas de codificação amadoras usadas, seu forte esquema de criptografia, que utiliza o algoritmo de curva elíptica Diffie-Hellman, provou ser eficaz no ataque a muitas empresas até agora”, declarou Dong em seu relatório. 

Outra característica do Babuk Locker é que, quando iniciado, os atores da ameaça podem usar um argumento de linha de comando para controlar como ele deve criptografar os compartilhamentos de rede e se eles devem ser criptografados antes do sistema de arquivos local. Uma vez lançado, o ransomware encerrará vários serviços e processos do Windows conhecidos por manter os arquivos abertos e impedir a criptografia.

Veja isso
Ransomware Ryuk rende mais de US$ 150 milhões a hackers em 2,5 anos
Tendência do ransomware é elevar o prejuízo de suas vítimas

Os programas encerrados incluem servidores de banco de dados, servidores de correio, software de backup, clientes de correio e navegadores da web. Ao criptografar arquivos, o Babuk Locker usa uma extensão codificada e anexa a cada arquivo criptografado, conforme mostrado abaixo.

-lanfirst
-lansecond
-nolan

A extensão codificada atual usada para todas as vítimas até agora é .__NIST_K571__. Uma nota de resgate chamada “Como restaurar seus arquivos.txt” será criada em cada pasta. Essa nota de resgate contém informações básicas sobre o que aconteceu durante o ataque e um link para um site Tor onde a vítima pode negociar com os operadores de ransomware. 

Uma das notas de resgate vistas pelo BleepingComputer continha o nome da vítima e links para imagens que provam que os atores da ameaça roubaram arquivos não criptografados durante o ataque. 

O site Babuk Locker Tor não é nada sofisticado e contém uma tela de bate-papo onde a vítima pode conversar com os atores da ameaça e negociar o resgate. Como parte do processo de negociação, os operadores de ransomware perguntam às vítimas se elas têm seguro cibernético e estão trabalhando com uma empresa de recuperação de ransomware. Os operadores de ransomware também pedem às vítimas o arquivo %AppData%\ecdh_pub_k.bin, que contém a chave pública ECDH das vítimas que permite que realizem a descriptografia de teste dos arquivos da vítima ou forneçam um descriptografador. 

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório