Le ransomware Babuk Locker cible les grandes entreprises

Quelques jours seulement après le début de la nouvelle année, Babuk Locker, l’une des premières nouvelles souches de ransomware de l’année 2021 a été découverte. Le ransomware semble avoir réussi à compromettre cinq entreprises jusqu’à présent, selon une nouvelle étude.

L’auteur de la recherche, Chuong Dong, étudiant en informatique à Georgia Tech, a déclaré avoir vu pour la première fois le ransomware mentionné dans un tweet d’un chercheur en sécurité qui s’appelle «Arkbird» sur Twitter. Il a ensuite découvert des informations sur Babuk sur RaidForums, qui est un forum de partage de bases de données piratées.

En se basant sur le site Web intégré dans la note de rançon de Babuk, et sur les informations des fuites de RaidForums, Dong a déclaré que le ransomware a réussi à compromettre cinq entreprises différentes dans le monde. Selon un rapport de BleepingComputer, ces entreprises victimes sont des fabricants de produits de test médical ou encore une entreprise de climatisation et de chauffage aux États-Unis – et au moins une des entreprises a accepté de payer une rançon de 85 000 dollars.

ransomware

Bien que Babuk ait certaines caractéristiques qui vont du non sophistiqué au banal, il vante également d’autres astuces novatrices, en particulier en ce qui concerne le chiffrement et l’abus de fonctionnalités Windows légitimes, a déclaré Dong.

«Babuk est un nouveau ransomware qui a été découvert au début de cette année», a déclaré Dong dans une analyse. «Malgré les pratiques de codage amateur utilisées, son système de chiffrement puissant qui utilise l’algorithme Diffie–Hellman à courbe elliptique s’est avéré efficace pour attaquer de nombreuses entreprises jusqu’à présent.»

Les fonctionnalités de Babuk

Le ransomware, qui se présente sous la forme d’un fichier .EXE 32 bits, manque notamment d’obfuscation. On ne sait pas non plus comment le ransomware est initialement propagé vers les victimes.

“Jusqu’à présent, nous ne savons pas comment le ransomware est entré dans l’entreprise, mais il s’agit probablement d’un hameçonnage similaire aux approches d’autres groupes de ransomwares”, a déclaré Dong.

Après l’infection, Babuk utilise une liste codée en dur de services et de processus à fermer avant le chiffrement. Il s’agit notamment de divers services de surveillance du système, notamment BackupExecVSSProvider, YooBackup et BackupExecDiveciMediaService. Du côté des processus, Babuk cherche à éliminer 31 processus comme sql.exe à oracle.exe et outlook.exe.

«La fermeture des applications est bénéfique car ces applications peuvent ouvrir des fichiers lorsque le ransomware est exécuté», a expliqué Dong. «Pour chiffrer des fichiers, il doit être capable de l’ouvrir. Si une autre application l’a déjà fait, le chiffrement échouera. »

Babuk tente également de supprimer les Shadow Copies avant et après le chiffrement. Les Shadow Copies existent dans Microsoft Windows et sont utilisés pour créer des copies de sauvegarde ou des captures de divers fichiers.

«Après avoir supprimé les Shadow Copies, Babuk vérifie si le système fonctionne sous un processeur 64 bits», selon Dong. “Si tel est le cas, Wow64RevertWow64FsRedirection est appelé pour réactiver la redirection du système de fichiers.”

Méthode de chiffrement

Il convient de noter le mécanisme de chiffrement de Babuk: il utilise sa propre implémentation du hachage SHA, du chiffrement ChaCha8 et de l’algorithme de génération et d’échange de clés Diffie – Hellman (ECDH) à courbe elliptique pour chiffrer les fichiers lors de l’attaque, ce qui les rend presque impossibles à récupérer pour les victimes. .

«En raison du mécanisme d’ECDH, l’auteur du ransomware peut générer le secret partagé en utilisant sa propre clé privée et la clé publique de la victime pour déchiffrer les fichiers», a déclaré Dong. «Cela rend les choses impossibles pour la victime de déchiffrer par elle-même à moins qu’elle ne puisse capturer la clé privée générée de manière aléatoire dans le logiciel malveillant avant la fin du chiffrement.»

Babuk utilise également le multithreading. De nombreux ordinateurs contiennent un ou plusieurs processeurs multicœurs, qui sont utilisés pour permettre l’exécution parallèle des processus et une meilleure utilisation du système. Les ransomwares, comme Babuk, peuvent être développés pour tirer parti de ce processus de multithreading afin de «paralléliser les tâches individuelles pour garantir un impact plus rapide et, par la suite, plus nocif, avant que les victimes ne découvrent qu’elles sont attaquées», ont déclaré des chercheurs de Sophos.

Cependant, Dong a déclaré que «l’approche du multithreading du ransomware est assez médiocre».

D’une part, son processus de multithreading utilise la récursivité pour parcourir les fichiers, a-t-il déclaré. Ce processus commence par un thread dans le répertoire le plus élevé (par exemple, le lecteur C://), qui, dans la fonction de chiffrement principale, passera par chaque élément du répertoire parent. S’il trouve un fichier, il le chiffre. Si un nouveau répertoire est trouvé, le processus appellera à nouveau la fonction de chiffrement principale avec ce répertoire comme répertoire parent pour traverser ce dossier. Ce processus se poursuit sur plusieurs couches jusqu’à ce que Babuk ait parcouru chaque dossier et fichier, a expliqué Dong.

«Il s’agit de la vieille école et de l’approche de base des ransomwares, et elle est généralement utilisée par les personnes novices dans le développement de logiciels malveillants», a déclaré Dong. «L’idée est bonne, mais c’est un travail fou compte tenu du fait qu’un système normal a au moins 10 000 fichiers.»

babuk locker

Le processus de multithreading du ransomware détermine également le nombre de threads à générer en doublant le nombre de cœurs sur la machine de la victime, puis en allouant un tableau pour stocker tous les descripteurs de thread.

«Une énorme quantité de threads peut potentiellement être créée pour chaque processus», a déclaré Dong. «Cependant, dans une situation idéale, il est préférable d’avoir un thread en cours d’exécution par processeur pour éviter que les threads ne se disputent le temps et les ressources du processeur pendant le chiffrement.»

En revanche, a ajouté Dong, une approche correcte du multithreading a été utilisée par le ransomware Conti, qui génère un thread pour chaque cœur de traitement.

«Son chiffrement est extrêmement rapide avec un peu moins de 30 secondes pour chiffrer le lecteur C://», a expliqué Dong.

Windows Restart Manager

Babuk exploite également la fonctionnalité Windows Restart Manager de Microsoft, qui permet aux utilisateurs d’arrêter et de redémarrer toutes les applications et tous les services (sauf les plus critiques). Le ransomware utilise cette fonctionnalité pour mettre fin à tout processus utilisant des fichiers – ce qui, selon Dong, garantit que rien n’empêchera le malware d’ouvrir et de chiffrer les fichiers.

D’autres familles de ransomwares populaires ont déjà abusé de Windows Restart Manager, notamment le ransomware Conti (comme on l’a vu dans une attaque de juillet 2020) et le ransomware REvil (vu dans une nouvelle version de mai 2020).

Une fois que tous les fichiers ont été chiffrés, la note de rançon de Babuk indique aux victimes que leurs ordinateurs et serveurs sont cryptés, et demande à la victime de les contacter à l’aide d’un navigateur Tor.

Cependant, «si la victime tente de payer la rançon, elle doit télécharger des fichiers dans un chat afin que les ‘pirates puissent s’assurer qu’ils sont capables de déchiffrer les fichiers», a déclaré Lamar Bailey, directeur principal de la recherche en sécurité chez Tripwire. «Je pense qu’il y a un taux d’échec assez élevé. Vont-ils gagner de l’argent? Absolument. Mais comme beaucoup de modèles, ce sera une chose du passé dans quelques mois et ne générera pas beaucoup d’argent à long terme. Jusque-là, évitez les fichiers .exe 32 bits. »

La nouvelle souche de ransomwares survient alors que les attaques de ransomwares continuent d’augmenter – le nombre d’attaques de ransomwares ayant bondi de 350% depuis 2018. Les systèmes de santé ont été particulièrement touchés récemment par les opérateurs de ransomwares, un rapport récent indiquant une augmentation de 45% des cyberattaques depuis le mois de Novembre.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires