吳明宜安全廠商 McAfee 發現勒索軟體開始發展跨平台能力,攻擊 Linux/Unix 及 ESXi 系統。但同時間,他們也發現 Babuk 的程式缺陷,使得受害者即使付了贖金也不見得能救回檔案。
McAfee 的研究人員 Thiabult Seret 和 Northwave 公司的 Noël Keijzer 發現許多知名公司的 Unix 、 Linux 後端核心系統遭到 Babuk 感染。有趣的是,其二進位程式卻是有問題的。研究人員相信這是勒索軟體正在實驗以跨平台程式語言 Golang (Go) 撰寫二進位程式之故。受害者的資料被有問題的二進位檔或解密器搞到「無法修復」,即使受害者付了贖金也不見得能救回檔案。
Babuk 攻擊一般包含三個階段:初始階段、網路繁殖及對目標行動。 Babuk 四月被查緝之前也執行勒索軟體即服務 (ransom as a service) 模式。 Northwave 調查,Babuk 是經由 CVE-2021-27065 漏洞執行攻擊,今年三月攻擊 Exchange Server 的 Hafnium 也曾利用這個漏洞。
研究人員指出,Babuk 一旦叩入大門,就會在受害系統中植入 Cobalt Strike 後門程式,攻擊者一般會用它來重覆存取系統。 Northwave 發現網路上多台重要系統被植入多個後門程式。而在攻擊後半段,攻擊者利用 zer0dump 取得網域管理員登入密碼,在某些系統上建立本地管理員帳號作為滲透攻擊據點,之後跨系統移動。
首先,他們利用 RDP 服務在 Windows 系統間橫向移動,在 Linux 系統間以 SSH 服務,而從 Windows 到 Linux 間則以 WinSC 傳送檔案。攻擊者分別從網際網路或代管網站下載惡意工具,此外也利用 DFine 、 NetScan 、 LAN Search Pro 這些工具在受害系統內搜尋,並將資料以壓縮檔傳到外部 Mega 及 Google Drive 網站。
一旦資料傳出去後,攻擊者就會摧毁受害者系統內的資料備份,然後轉向 VMware ESXi 主機,最後安裝勒索軟體二進位檔。這個二進位檔會加密所有虛擬機器,在此之前都算是「正常的」勒索軟體行為,然而研究人員也發現異常。
有瑕疵的惡意程式
根據 McAfee 分析,這個二進位檔寫得很差,有很多設計上的漏洞,最終導致無法修復的資料毁損。研究人員分析了 Babuk 的解密程式,說明它在資料解密過程中會發生失敗,造成資料無法回復。
研究人員相信,這是駭客正在這些機器上進行 Golang 程式開發的 beta 測試。但是程式撰寫太差也將影響 Babuk 和同夥的關係,後者幫忙駭入受害者機器,卻面臨受害者付了錢無法解密檔案的窘境,這也會影響勒索軟體產業的生態關係,很不上道。
4 月底 Babuk 在太歲頭上動土,攻擊華盛頓特區警察署企圖勒索,不過並未成功,但這促使 Babuk 的操控者決定改弦易轍,未來不加密系統,只竊取資料。他們會將不付贖金的受害組織資料公佈出來,以及將資料提供給其他組織,儼然轉為資料管理商的角色。攻擊者也說會將 Babuk 程式碼以開放原始碼專案釋出,公佈程式碼。
在「轉型」後,Babuk 的操控者於 5 月外洩電玩《電馭叛客 2077》的程式碼,隨後轉趨沈寂。
研究人員呼籲企業小心系統中是否有滲透測試工具,像是 winPEAS 、 Bloodhound 、 SharpHound,或是駭客常見框架工具,如 CobaltStrike 、 Metasploit 、 Empire 或 Covenant 等。
來源:ZDNet