-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Operatorzy ransomware „Babuk” ogłosili zmianę „modelu biznesowego”. Tym razem tylko wykradanie danych, bez szyfrowania…

05 maja 2021, 15:19 | W biegu | komentarze 3

Jakiś czas temu opublikowaliśmy artykuł o ransomwarze “Babuk”. O grupie zrobiło się dosyć głośno po udanym ataku na główną jednostkę policji w Waszyngtonie, w wyniku którego wykradziono i zaszyfrowano ponad 250 GB danych:

sekurakowi udało się przeprowadzić wywiad z przedstawicielem operatorów “Babuka”, z którego mogliśmy się dowiedzieć między innymi, że grupa planuje kolejne ataki:

Dzień po wywiadzie dla sekuraka grupa niespodziewanie ogłosiła jednak, że kończy swoją działalność i przechodzi na model otwartoźródłowy:

Jest to dość dziwne posunięcie, zwłaszcza że “biznes” przynosił przestępcom olbrzymie zyski:

Grupa “Babuk” doprecyzowała jednak swoje oświadczenie, wyjaśniając, że “koniec działalności” odnosi się jedynie do korzystania z oprogramowania szyfrującego.

Jeśli dobrze przyjrzymy się tym komunikatom, to oba odnoszą się pośrednio lub bezpośrednio do oprogramowania szyfrującego. Z pierwszego z nich dowiadujemy się o przejściu na model otwartoźródłowy, z drugiego zaś wynika zaprzestanie szyfrowania danych. Możemy się zatem domyślać, że nagła “zmiana” modelu biznesowego została  podyktowana niedoskonałościami w kodzie tego ransomware’a.

Badacz bezpieczeństwa Chuong Donga kilka miesięcy przed atakiem na policję w Waszyngtonie zidentyfikował szereg problemów w ransomwarze “Babuk”. Przykładowo, jeden błąd uniemożliwiał nawet samym operatorom wygenerowanie kluczy, potrzebnych do przywrócenia plików:

Pozostałe zidentyfikowane przez Chuong Donga słabości dotyczą uszkodzenia plików. Dla plików powyżej pewnej wielkości, niezależnie od rozszerzenia i niezależnie od wersji ransomware’a, szyfrowany jest tylko ich początek, a ich zawartość nie jest naruszana. Oznacza to, w dużym uproszczeniu, że można odczytać nieuszkodzoną zawartość pliku, próbować naprawiać uszkodzone pliki, podmieniając uszkodzone części plików (np. nieuszkodzonymi blokami nagłówka, które znajdują się na początku pliku) albo w inny sposób (np. w przypadku plików bazodanowych, przepisując nieuszkodzoną zawartość do nowej struktury odpowiadającej tej uszkodzonej). 

Tego typu wpadki mogą zrujnować “reputację” grupy, bo kto zapłaci okup za uszkodzone pliki…

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Aleksander

    Operator, produkt, biznes, reputacja…

    Odpowiedz
    • CyberPomidor

      Zgodnie z przedmówcą, operator to może być koparko ładowarki, po prostu grupa przestępcza.

      Odpowiedz
  2. sasza

    Kto tak naprawdę za tym stoi? Dziwne mam przeczucia;

    Odpowiedz

Odpowiedz