Das Advanced Threat Research (ATR)-Team von McAfee Enterprise veröffentlichte eine Analyse darüber, wie die Babuk Ransomware von einem Verschlüsselungs-/Ransomware-
Schon Anfang dieses Jahres zeigte eine McAfee-Studie über Babuk, dass die Gruppe die Branchen Transportwesen, Gesundheitswesen, Kunststoffindustrie, Elektronik und Landwirtschaft in verschiedenen Regionen ins Visier nahm. Die jüngsten Untersuchungen zeigen jetzt, dass Babuks Mitglieder aggressiver vorgehen und hochrangige Opfer infizieren. Hinzu kommt: Dateien können auch dann nicht mehr abgerufen werden, wenn eine Zahlung erfolgt ist.
Kürzlich kündigte Babuk in einem Untergrundforum an, dass die Gruppe eine plattformübergreifende Binärdatei entwickelt, die auf Linux/UNIX- und ESXi- oder VMware-Systeme abzielt. Viele zentrale Backend-Systeme in Unternehmen laufen auf diesen *nix-Betriebssystemen oder, im Falle der Virtualisierung, auf dem ESXi, das mehrere Server oder die virtuelle Desktop-Umgebung hostet.
Die wichtigsten Ergebnisse der Analyse:
- Prozess: Die Analyse von McAfee Enterprise zeigt, dass Babuk bei der Entwicklung seiner Golang-Binärdateien und der Entschlüsselungsprogramme Live-Beta-Tests an seinen Opfern durchgeführt hat. Das ATR-Forschungsteam hat festgestellt, dass die Rechner mehrerer Opfer aufgrund eines fehlerhaften Binärprogramms oder eines fehlerhaften Entschlüsselungsprogramms nicht mehr zu reparieren waren.
- Defekte: Die jüngsten Ergebnisse zeigen auch, dass der Decryptor insgesamt mangelhaft ist, da er nur nach der Erweiterung “.babyk” sucht. Alle Dateien, die das Opfer möglicherweise umbenannt hat, um sie wiederherzustellen, werden dadurch übersehen.
- Auswirkungen: Das Design und die Kodierung des Entschlüsselungstools sind schlecht entwickelt. Das bedeutet für Unternehmen, die sich entscheiden Lösegeld zu zahlen, dass der Entschlüsselungsprozess für verschlüsselte Dateien sehr langsam sein kann. Hinzu kommt, dass es keine Garantie gibt, dass alle Dateien wiederhergestellt werden können.
http://www.mcafee.de