Pesquisadores de segurança identificaram um novo ransomware operado por hackers que visa vítimas corporativas. Denominado Babuk Locker, trata-se de um malware descoberto logo no início deste ano e, desde então, acumulou uma pequena lista de vítimas em todo o mundo.
De acordo com o site BleepingComputer, que acompanhou negociações de resgate com vítimas do ransomware, as demandas variaram de US$ 60 mil a US$ 85 mil, em valores equivalentes em bitcoin.
De acordo com o pesquisador de segurança Chuong Dong, que analisou o novo ransomware, a codificação do Babuk Locker é amadora, mas inclui criptografia segura que evita que as vítimas recuperem seus arquivos sem pagar resgate. “Apesar das práticas de codificação amadoras usadas, seu forte esquema de criptografia, que utiliza o algoritmo de curva elíptica Diffie-Hellman, provou ser eficaz no ataque a muitas empresas até agora”, declarou Dong em seu relatório.
Outra característica do Babuk Locker é que, quando iniciado, os atores da ameaça podem usar um argumento de linha de comando para controlar como ele deve criptografar os compartilhamentos de rede e se eles devem ser criptografados antes do sistema de arquivos local. Uma vez lançado, o ransomware encerrará vários serviços e processos do Windows conhecidos por manter os arquivos abertos e impedir a criptografia.
Veja isso
Ransomware Ryuk rende mais de US$ 150 milhões a hackers em 2,5 anos
Tendência do ransomware é elevar o prejuízo de suas vítimas
Os programas encerrados incluem servidores de banco de dados, servidores de correio, software de backup, clientes de correio e navegadores da web. Ao criptografar arquivos, o Babuk Locker usa uma extensão codificada e anexa a cada arquivo criptografado, conforme mostrado abaixo.
-lanfirst
-lansecond
-nolan
A extensão codificada atual usada para todas as vítimas até agora é .__NIST_K571__. Uma nota de resgate chamada “Como restaurar seus arquivos.txt” será criada em cada pasta. Essa nota de resgate contém informações básicas sobre o que aconteceu durante o ataque e um link para um site Tor onde a vítima pode negociar com os operadores de ransomware.
Uma das notas de resgate vistas pelo BleepingComputer continha o nome da vítima e links para imagens que provam que os atores da ameaça roubaram arquivos não criptografados durante o ataque.
O site Babuk Locker Tor não é nada sofisticado e contém uma tela de bate-papo onde a vítima pode conversar com os atores da ameaça e negociar o resgate. Como parte do processo de negociação, os operadores de ransomware perguntam às vítimas se elas têm seguro cibernético e estão trabalhando com uma empresa de recuperação de ransomware. Os operadores de ransomware também pedem às vítimas o arquivo %AppData%\ecdh_pub_k.bin, que contém a chave pública ECDH das vítimas que permite que realizem a descriptografia de teste dos arquivos da vítima ou forneçam um descriptografador.