افشای کدهای برنامه‌نویسی باج‌افزار Babuk

به تازگی، کدهای برنامه‌نویسی (Source Code) باج‌افزار Babuk در یک تالار گفتگوی اینترنتی هکرهای روسی زبان در دسترس قرار گرفته است.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده جزییات افشای کدهای برنامه‌نویسی باج‌افزار Babuk مورد بررسی قرار گرفته است.

Babuk Locker، که با نام Babyk نیز شناخته می‌شود، از ابتدای سال 2021 آغاز شده است و گردانندگان آن سازمان‌های فعال در حوزه‌های مختلف را به منظور سرقت و رمزگذاری داده‌ها مورد هدف قرار می‌داده‌اند.

پس از حمله به اداره پلیس واشنگتن، این مهاجمان باج‌افزاری ادعا کردند که فعالیت خود را متوقف کرده‌اند. با این حال، چند تن از اعضا از گروه جدا شده و با راه‌اندازی نسخه جدیدی از Babuk (معروف به Babuk V2)، همچنان به اجرای حملات باج‌افزاری ادامه می‌دهند.

اخیراً یک گروه تحقیقاتی گزارش کرده که یکی از اعضای گروه Babuk کد این باج‌افزار را در یک تالار گفتگوی هکرهای روسی زبان منتشر کرده است. این عضو مدعی شده که به دلیل ابتلاء به سرطانی علاج‌ناپذیر، تصمیم به انتشار کد این باج‌افزار مخرب گرفته است.

تصاویر زیر مطلب ارسالی از سوی این فرد را به دو زبان روسی و انگلیسی نمایش می‌دهد.

اطلاعات به اشتراک گذاشته شده همانند تصویری که در ادامه نمایش داده شده، شامل پروژه‌های مختلف Visual Studio است که در آنها فایل‌های باج‌افزار Babuk به تفکیک بسترهای VMware ESXi ،NAS و Windows به چشم می‌خورد.

در پوشه Windows کدهای برنامه‌نویسی رمزگذار (Encryptor)، رمزگشا (Decryptor) و یک فایل که به نظر می‌رسد تولیدکننده کلیدهای خصوصی و عمومی (Private and public key generator) می‌باشد، قرار داده شده است.

به عنوان مثال، کد برنامه‌نویسی مربوط به بخش رمزگذاری در ادامه قابل مشاهده است.

به نقل از محققان امنیتی شرکت‌های مک‌آفی (McAfee, LLC) و امسی‌سافت (.Emsisoft Ltd)، این اطلاعات افشا شده کاملاً معتبر به نظر می‌رسند.

باج‌افزار Babuk از الگوریتم رمزنگار Elliptic Curve Cryptography – به اختصار ECC – در فرآیند رمزگذاری خود استفاده می‌کند. این اطلاعات افشا شده ممکن است شامل کلیدهای رمزگشای ECC برای قربانیان پیشین این باج‌افزار باشند، هرچند این هنوز تأیید نشده است.

اختلافات میان اعضای این گروه باج‌افزاری، منجر به فروپاشی گروه و ایجاد گروه جدیدی شده است. یکی از اعضای این گروه در گفتگو با سایت Bleeping Computer عنوان نموده که این اختلافات پس از حمله به اداره پلیس واشنگتن آغاز شده است. به نظر می‌رسد در پی حمله مذکور، یکی از اعضای اصلی این گروه علی‌رغم مخالفت سایر اعضاء قصد انتشار عمومی داده‌های سرقت شده را داشته است. 

پس از نشت‌داده‌ها، گروه منشعب شد و فرد اصلی اقدام به راه‌اندازی یک تالار گفتگوی اینترنتی با عنوان Ramp نمود. سایر اعضا نیز گروه باج‌افزاری Babuk V2 را راه‌اندازی نمودند و به انجام حملات باج‌افزاری خود ادامه دادند. اما خیلی زود تالار گفتگوی Ramp هدف حملات DDoS قرار گرفت. گرداننده این تالار گفتگو، شرکای سابق خود را مسئول این حملات دانست، هر چند که این ادعا توسط تیم Babuk V2 رد شد. مدتی بعد نیز در پی تشدید این اختلافات، یکی از برنامه‌های سازنده Babukو(Babuk Ransomware Builder) در یک سایت اشتراک فایل فاش شد و توسط گروه دیگری برای راه اندازی حملات باج‌افزاری مورد استفاده گرفت.