ظهور با‌ج‌افزار سازمانی Babuk Locker در آغاز ۲۰۲۱

کمیته رکن چهارم – باج‌افزاری سازمانی جدید Babuk Locker از ابتدای سال ۲۰۲۱ شروع به فعالیت کرده و تا کنون موفق به آلوده‌سازی چند شرکت در نقاط مختلف جهان و سرقت اطلاعات از آنها شده است.

جهان در سال ۲۰۲۱ با با‌ج‌افزار سازمانی جدیدی به نام Babuk Locker مواجه شده‌است. مبالغ اخاذی شده از قربانیان بین ۶۰ تا ۸۵ هزار دلار که در قالب بیت‌کوین دریافت می‌شود. روش کار مهاجمان در هر حمله، خاص آن سازمان بوده و به اصطلاح به‌صورت Human-operated اجرا می‌شود.

برای مثال، پسوند الصاقی به فایل‌های رمز شده و محتوای اطلاعیه باج‌گیری (Ransom Note) مختص هر حمله است. اگرچه برخی، کدنویسی Babuk Locker را آماتوری توصیف کرده‌اند اما به دلیل بهره‌گیری آن از الگوریتم‌های ChaCha۸ و Elliptic-curve Diffie–Hellman به نظر نمی‌رسد که رمزگشایی رایگان فایل‌های رمز شده توسط این باج‌افزار ممکن باشد.

Babuk Locker دارای سوییچ‌هایی است تعیین می‌کنند که رمزگذاری پوشه‌های اشتراکی قبل یا بعد از فایل‌های محلی (Local) انجام شود و یا اصلا به پوشه‌های اشتراکی دست‌درازی نشود. فهرست این سوییچ‌ها به‌شرح زیر است:
-lanfirst
-lansecond
-nolan

به‌محض اجرای باج‌افزار چندین سرویس Windows و پروسه‌هایی که مانع از رمزگذاری فایل‌های باز شده در بستر آنها می‌گردند متوقف می‌شوند. ازجمله این برنامه‌ها می‌توان به پایگاه‌های داده، سرورهای ایمیل، نرم‌افزارهای مدیریت پشتیبان، نرم‌افزارهای مدیریت ایمیل و مرورگرهای وب است. Babuk Locker به فایل‌های رمز شده پسوند را که در کد درج شده الصاق می‌کند.

How To Restore Your Files.txt به‌عنوان فایل اطلاعیه باج‌گیری در هر پوشه کپی می‌شود. فایل مذکور حاوی لینک به سایتی در شبکه ناشناس Tor است.

سایت گردانندگان Babuk Locker در Tor صفحه‌ای ساده و عاری از هر گونه طراحی خاص است و تنها امکان گفت‌وگو (Chat) قربانی با مهاجمان را فراهم می‌کند. در نمونه‌ای از گفت‌وگوی انجام شده مهاجمان پرسیده بودند که آیا قربانی دارای بیمه سایبری است و آیا از شرکت‌های فعال در بازگرداندن فایل‌های رمزگذاری شده مشاوره گرفته‌اند.

به‌منظور انجام رمزگشایی آزمایشی یا ارائه رمزگشا، مهاجمان از قربانی می‌خواهند که فایل زیر را که حاوی کلید ECDH است ارسال کند.
%AppData%\ecdh_pub_k.bin

در بسیاری از حملات باج‌افزاری موسوم به Human-operated، مهاجمان، پیش از رمزگذاری و از دسترس خارج کردن فایل‌ها، داده‌های بااهمیت را سرقت می‌کنند. در ادامه، قربانی تهدید می‌شود که در صورت عدم پرداخت مبلغ اخاذی‌شده، اطلاعات سرقت شده به صورت عمومی منتشر و افشا خواهد شد. Babuk Locker نیز از این قاعده مستثنی نیست. اما بر خلاف بسیاری از این باج‌افزارها که صاحبان آن‌ها اقدام به راه‌اندازی سایت‌های به اصطلاح Leak Site می‌کنند گردانندگان Babuk Locker از یک تالار گفتگوی اینترنتی (Forum) برای نشت داده‌های قربانیان خود استفاده می‌کنند.

حداقل یکی از قربانیان، مبلغ ۸۵ هزار دلار اخاذی شده توسط این مهاجمان را پرداخت کرده است.

منبع : مرکز مدیریت راهبردی افتا