Эксперты компании McAfee выпустили отчет о шифровальщике Babuk, в котором пришли к выводу, что попытки сделать малварь кросспатформенной и использовать против Linux/UNIX и ESXi или VMware обернулись неудачей.
Напомню, что еще в начале года создатели Babuk сообщали, что разработали версию вымогателя для *nix, так как многие бэкэнды в крупных компаниях работают вовсе не под управлением Windows. Однако, по данным исследователей, шифровальщик был написан со множеством ошибок, которые «приводили к необратимому повреждению данных».
Так как уничтожение данных вместо их шифрования менее выгодно с точки зрения преступников, эксперты полагают, что именно полная неработоспособность *nix-версии Babuk и дешифровщика заставила хакеров перейти к кражам данных и вымогательству, отказавшись от шифрования.
Напомню, что ранее в этом году операторы Babuk объявили о прекращении работы (после громкой атаки на полицейское управление Вашингтона). Считается, что хакеры переименовали свой «сайт утечек» в Payload.bin, и готовы были предоставлять его другим преступникам как сторонний хостинг, куда можно слить чьи-то файлы, не заводя для этих целей собственный сайт, а также в качестве площадки, на которой смогут «встречаться» вымогатели, брокеры доступов и другие преступники. Ведь недавно почти на всех крупных хак-форумах запретили любые обсуждения связанные с шифровальщиками и вымогательским ПО. Однако, похоже, дела у группировки идут не слишком хорошо, а форум не смог завоевать популярность, зато подвергался DDoS-атакам и страдал от различных багов.
Что касается неудачного дешифровщика Babuk, исследователи рассказывают о нем следующее:
Напомню, что еще в начале года создатели Babuk сообщали, что разработали версию вымогателя для *nix, так как многие бэкэнды в крупных компаниях работают вовсе не под управлением Windows. Однако, по данным исследователей, шифровальщик был написан со множеством ошибок, которые «приводили к необратимому повреждению данных».
Таким образом, даже если жертва согласится заплатить хакерам выкуп, расшифровать пострадавшие файлы не удастся. Эксперты надеются, что в конечном итоге это повлияет на отношения разработчиков Babuk с «партнерами», которые занимаются непосредственно атаками и заражают сети жертв малварью. Если пострадавшие не смогут вернуть свои данные даже после уплаты выкупа, их недовольство обратится на «партнеров» Babuk.«Похоже, Babuk провел живой бета-тест на своих жертвах, когда дело дошло до разработки бинарника и дешифратора на Golang. Мы наблюдали, что несколько машин пострадавших оказались зашифрованы без возможности восстановления данных из-за неисправного бинарника и неисправного дешифратора», — пишут эксперты McAfee.
Так как уничтожение данных вместо их шифрования менее выгодно с точки зрения преступников, эксперты полагают, что именно полная неработоспособность *nix-версии Babuk и дешифровщика заставила хакеров перейти к кражам данных и вымогательству, отказавшись от шифрования.
Напомню, что ранее в этом году операторы Babuk объявили о прекращении работы (после громкой атаки на полицейское управление Вашингтона). Считается, что хакеры переименовали свой «сайт утечек» в Payload.bin, и готовы были предоставлять его другим преступникам как сторонний хостинг, куда можно слить чьи-то файлы, не заводя для этих целей собственный сайт, а также в качестве площадки, на которой смогут «встречаться» вымогатели, брокеры доступов и другие преступники. Ведь недавно почти на всех крупных хак-форумах запретили любые обсуждения связанные с шифровальщиками и вымогательским ПО. Однако, похоже, дела у группировки идут не слишком хорошо, а форум не смог завоевать популярность, зато подвергался DDoS-атакам и страдал от различных багов.
Что касается неудачного дешифровщика Babuk, исследователи рассказывают о нем следующее:
«В целом, дешифровщик плохой, поскольку он ищет только расширение .babyk и пропускает любые файлы, которые жертва могла переименовать, в попытке их восстановить. Кроме того, дешифровщик проверяет, превышает ли размер файла 32 байта, так как последние 32 байта объединяются позже с другими жестко закодированными значениями для получения ключа. Это плохая разработка, ведь эти 32 байта могут оказаться мусором, а не ключом».