McAfee: дешифровщик Babuk не работает и повреждает данные жертв - «Новости»

  • 10:30, 02-авг-2021
  • Новости / Отступы и поля / Вёрстка / Добавления стилей / Самоучитель CSS / Преимущества стилей / Линии и рамки / Сайтостроение
  • Hamphrey
  • 0

Эксперты компании McAfee выпустили отчет о шифровальщике Babuk, в котором пришли к выводу, что попытки сделать малварь кросспатформенной и использовать против Linux/UNIX и ESXi или VMware обернулись неудачей.


Напомню, что еще в начале года создатели Babuk сообщали, что разработали версию вымогателя для *nix, так как многие бэкэнды в крупных компаниях работают вовсе не под управлением Windows. Однако, по данным исследователей, шифровальщик был написан со множеством ошибок, которые «приводили к необратимому повреждению данных».


«Похоже, Babuk провел живой бета-тест на своих жертвах, когда дело дошло до разработки бинарника и дешифратора на Golang. Мы наблюдали, что несколько машин пострадавших оказались зашифрованы без возможности восстановления данных из-за неисправного бинарника и неисправного дешифратора», — пишут эксперты McAfee.


Таким образом, даже если жертва согласится заплатить хакерам выкуп, расшифровать пострадавшие файлы не удастся. Эксперты надеются, что в конечном итоге это повлияет на отношения разработчиков Babuk с «партнерами», которые занимаются непосредственно атаками и заражают сети жертв малварью. Если пострадавшие не смогут вернуть свои данные даже после уплаты выкупа, их недовольство обратится на «партнеров» Babuk.


Так как уничтожение данных вместо их шифрования менее выгодно с точки зрения преступников, эксперты полагают, что именно полная неработоспособность *nix-версии Babuk и дешифровщика заставила хакеров перейти к кражам данных и вымогательству, отказавшись от шифрования.


Напомню, что ранее в этом году операторы Babuk объявили о  прекращении работы (после громкой атаки на полицейское управление Вашингтона). Считается, что хакеры переименовали свой «сайт утечек» в Payload.bin, и готовы были предоставлять его другим преступникам как сторонний хостинг, куда можно слить чьи-то файлы, не заводя для этих целей собственный сайт, а также в качестве площадки, на которой смогут «встречаться» вымогатели, брокеры доступов и другие преступники. Ведь недавно почти на всех крупных хак-форумах запретили любые обсуждения связанные с шифровальщиками и вымогательским ПО. Однако, похоже, дела у группировки идут не слишком хорошо, а форум не смог завоевать популярность, зато подвергался DDoS-атакам и страдал от различных багов.


Что касается неудачного дешифровщика Babuk, исследователи рассказывают о нем следующее:


«В целом, дешифровщик плохой, поскольку он ищет только расширение .babyk и пропускает любые файлы, которые жертва могла переименовать, в попытке их восстановить. Кроме того, дешифровщик проверяет, превышает ли размер файла 32 байта, так как последние 32 байта объединяются позже с другими жестко закодированными значениями для получения ключа. Это плохая разработка, ведь эти 32 байта могут оказаться мусором, а не ключом».


Эксперты компании McAfee выпустили отчет о шифровальщике Babuk, в котором пришли к выводу, что попытки сделать малварь кросспатформенной и использовать против Linux/UNIX и ESXi или VMware обернулись неудачей. Напомню, что еще в начале года создатели Babuk сообщали, что разработали версию вымогателя для *nix, так как многие бэкэнды в крупных компаниях работают вовсе не под управлением Windows. Однако, по данным исследователей, шифровальщик был написан со множеством ошибок, которые «приводили к необратимому повреждению данных». «Похоже, Babuk провел живой бета-тест на своих жертвах, когда дело дошло до разработки бинарника и дешифратора на Golang. Мы наблюдали, что несколько машин пострадавших оказались зашифрованы без возможности восстановления данных из-за неисправного бинарника и неисправного дешифратора», — пишут эксперты McAfee. Таким образом, даже если жертва согласится заплатить хакерам выкуп, расшифровать пострадавшие файлы не удастся. Эксперты надеются, что в конечном итоге это повлияет на отношения разработчиков Babuk с «партнерами», которые занимаются непосредственно атаками и заражают сети жертв малварью. Если пострадавшие не смогут вернуть свои данные даже после уплаты выкупа, их недовольство обратится на «партнеров» Babuk. Так как уничтожение данных вместо их шифрования менее выгодно с точки зрения преступников, эксперты полагают, что именно полная неработоспособность *nix-версии Babuk и дешифровщика заставила хакеров перейти к кражам данных и вымогательству, отказавшись от шифрования. Напомню, что ранее в этом году операторы Babuk объявили о прекращении работы (после громкой атаки на полицейское управление Вашингтона). Считается, что хакеры переименовали свой «сайт утечек» в Payload.bin, и готовы были предоставлять его другим преступникам как сторонний хостинг, куда можно слить чьи-то файлы, не заводя для этих целей собственный сайт, а также в качестве площадки, на которой смогут «встречаться» вымогатели, брокеры доступов и другие преступники. Ведь недавно почти на всех крупных хак-форумах запретили любые обсуждения связанные с шифровальщиками и вымогательским ПО. Однако, похоже, дела у группировки идут не слишком хорошо, а форум не смог завоевать популярность, зато подвергался DDoS-атакам и страдал от различных багов. Что касается неудачного дешифровщика Babuk, исследователи рассказывают о нем следующее: «В целом, дешифровщик плохой, поскольку он ищет только расширение .babyk и пропускает любые файлы, которые жертва могла переименовать, в попытке их восстановить. Кроме того, дешифровщик проверяет, превышает ли размер файла 32 байта, так как последние 32 байта объединяются позже с другими жестко закодированными значениями для получения ключа. Это плохая разработка, ведь эти 32 байта могут оказаться мусором, а не ключом».

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!