Babuk fidye yazılımı, 2021'de keşfedilen ve en az beş büyük işletmeyi etkileyen yeni bir fidye yazılımı tehdididir . Diğer varyantlarda olduğu gibi, bu fidye yazılımı, suçluların dikkatle hedeflediği ve tehlikeye attığı işletmelerin ve şirketlerin ağına yerleştirilir.
Enfeksiyon haritası (kaynak: en altta belirttim)
Enfeksiyon haritası (kaynak: en altta belirttim)
Kapsam ve Koruma Önerileri
Kapsam ve Koruma Önerileri
ENS ATP, tehdidi proaktif olarak algılamaya odaklanan davranışsal içerik sağlarken aynı zamanda hem çevrimiçi hem de çevrimdışı algılamalar için bilinen IoC'ler sunar. DAT tabanlı tespitler için, aile Ransom-Babuk! <hash> olarak rapor edilecektir . ENS ATP, genel fidye yazılımı davranışları için saldırı yüzeyini azaltma sağlayan JTI kuralları ve fidye yazılımı tehditlerini hedefleyen ML modelleriyle RealProtect (statik ve dinamik) sayesinde 2 ek koruma katmanı ekler.
Göstergelere ilişkin güncellemeler GTI aracılığıyla gönderilir ve Insights müşterileri, bu fidye yazılımı ailesinde yeni ve ilgili bilgiler mevcut olduğunda güncellenen bir tehdit profili bulacaktır.
Başlangıçta, araştırmamızda Babuk'un arkasındaki suçlular tarafından kullanılan giriş vektörü ve tüm taktikler, teknikler ve prosedürler (TTP'ler) belirsizliğini korudu.
Bununla birlikte, bağlı kuruluş işe alım ilanı çevrimiçi olduğunda ve Babuk'un yayınladığı belirli yeraltı buluşma yeri verildiğinde, savunucular, diğer Hizmet olarak Fidye Yazılım ailelerinde olduğu gibi Babuk ile de benzer TTP'ler bekleyebilir.
Babuk, işe alımında özellikle pentest becerilerine sahip bireyler istiyor, bu nedenle savunucular, winPEAS, Bloodhound ve SharpHound gibi açık kaynak penetrasyon testi araçlarıyla veya CobaltStrike, Metasploit, Empire veya Sözleşme. Ayrıca, numaralandırma ve yürütme gibi şeyler için kullanılabilenler gibi ikili kullanımı olan kötü niyetli olmayan araçların anormal davranışlarına dikkat edin (örneğin, ADfind, PSExec, PowerShell, vb.)
Diğer benzer Hizmet olarak Ransomware ailelerine baktığımızda, bazı giriş vektörlerinin fidye yazılımı suçluları arasında oldukça yaygın olduğunu gördük:
Göstergelere ilişkin güncellemeler GTI aracılığıyla gönderilir ve Insights müşterileri, bu fidye yazılımı ailesinde yeni ve ilgili bilgiler mevcut olduğunda güncellenen bir tehdit profili bulacaktır.
Başlangıçta, araştırmamızda Babuk'un arkasındaki suçlular tarafından kullanılan giriş vektörü ve tüm taktikler, teknikler ve prosedürler (TTP'ler) belirsizliğini korudu.
Bununla birlikte, bağlı kuruluş işe alım ilanı çevrimiçi olduğunda ve Babuk'un yayınladığı belirli yeraltı buluşma yeri verildiğinde, savunucular, diğer Hizmet olarak Fidye Yazılım ailelerinde olduğu gibi Babuk ile de benzer TTP'ler bekleyebilir.
Babuk, işe alımında özellikle pentest becerilerine sahip bireyler istiyor, bu nedenle savunucular, winPEAS, Bloodhound ve SharpHound gibi açık kaynak penetrasyon testi araçlarıyla veya CobaltStrike, Metasploit, Empire veya Sözleşme. Ayrıca, numaralandırma ve yürütme gibi şeyler için kullanılabilenler gibi ikili kullanımı olan kötü niyetli olmayan araçların anormal davranışlarına dikkat edin (örneğin, ADfind, PSExec, PowerShell, vb.)
Diğer benzer Hizmet olarak Ransomware ailelerine baktığımızda, bazı giriş vektörlerinin fidye yazılımı suçluları arasında oldukça yaygın olduğunu gördük:
- E-posta Hedefli Kimlik Avı (T1566.001). Genellikle doğrudan etkileşim kurmak ve / veya bir ilk dayanak noktası elde etmek için kullanılan ilk kimlik avı e-postası, fidye yazılımı çetelerinin bir kurbanın ağını tamamen tehlikeye atmaya devam etmeleri için bir yükleyici ve giriş noktası görevi gören farklı bir kötü amaçlı yazılım türüne de bağlanabilir. Bunu geçmişte Trickbot ve Ryuk, Emotet ve Prolock vb. İle gözlemledik.
- Exploit Public-Facing Application (T1190) başka bir yaygın giriş vektörüdür; siber suçlular, güvenlik haberlerinin hevesli tüketicileridir ve her zaman iyi bir istismar arayışı içindedirler. Bu nedenle kuruluşları, yama uygulama konusunda hızlı ve gayretli olmaya teşvik ediyoruz. Geçmişte, uzaktan erişim yazılımı, web sunucuları, ağ uç ekipmanı ve güvenlik duvarlarıyla ilgili güvenlik açıklarının bir giriş noktası olarak kullanıldığı çok sayıda örnek vardır.
- Geçerli hesaplar kullanmak (T1078), siber suçluların bir yer edinmesi için kanıtlanmış bir yöntemdir ve olmuştur. Sonuçta, anahtarlarınız varsa neden kapıyı kırarsınız? Zayıf korunan Uzak Masaüstü Protokolü (RDP) erişimi, bu giriş yönteminin en önemli örneğidir.
- Geçerli hesaplar, bir kurbanın bilgisayarından kimlik bilgilerini çalmak için tasarlanmış, bilgi hırsızları gibi ticari amaçlı kötü amaçlı yazılımlar aracılığıyla da elde edilebilir. Binlerce kimlik bilgisi içeren bilgi hırsızlığı günlükleri, VPN ve kurumsal oturum açma bilgilerini aramak için fidye yazılımı suçluları tarafından satın alınır. Bir kuruluş olarak, sağlam kimlik bilgileri yönetimi ve kullanıcı hesaplarında çok faktörlü kimlik doğrulama, sahip olunması gereken mutlak bir zorunluluktur.
Tehdidin Özeti
Tehdidin Özeti
- Babuk fidye yazılımı, ilk olarak 2021'in başında tespit edilen yeni bir fidye yazılımı ailesidir.
- Operatörleri, diğer fidye yazılımı aileleriyle aynı işletim yöntemlerini benimsedi ve çalınan verileri halka açık bir web sitesinde sızdırdı:
- hxxp: //gtmx56k4hutn3ikv.onion/.
- Babuk'un kod tabanı ve eserleri, Vasa Locker'ınkine oldukça benzer.
- Babuk, hem İngilizce hem de Rusça konuşulan forumlarda reklam veriyor; burada ilki duyurular için kullanılıyor ve ikincisi ise bağlı kuruluşların işe alınması ve fidye yazılımı güncellemelerine odaklanıyor.
- Babuk fidye yazılımının arkasındaki kişiler, BlackLivesMatter (BLM) ve LGBT topluluklarına karşı kendilerini açıkça olumsuz ifade ettiler.
- 15 Ocak 2021 itibarıyla en az 5 şirket ihlal edildi.
- Fidye yazılımı, komut satırı işlemini destekler ve kendini yaymak ve ağ kaynaklarını şifrelemek için kullanılan üç farklı yerleşik komut içerir.
- Çalışan hizmetleri ve işlemleri kontrol eder, böylece önceden tanımlanmış bir listeyi sonlandırabilir ve algılanmayı önleyebilir.
- Normalde belirli ülkelerde cihazları yedekleyen diğer fidye yazılımı çetelerinin aksine, yerel dil kontrolü yoktur.
- En son varyant paketlendi.
https://www.mcafee.com/enterprise/en-us/assets/reports/rp-babuk-ransomware.pdf