به تازگی، کدهای برنامهنویسی (Source Code) باجافزار Babuk در یک تالار گفتگوی اینترنتی هکرهای روسی زبان در دسترس قرار گرفته است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده جزییات افشای کدهای برنامهنویسی باجافزار Babuk مورد بررسی قرار گرفته است.
Babuk Locker، که با نام Babyk نیز شناخته میشود، از ابتدای سال 2021 آغاز شده است و گردانندگان آن سازمانهای فعال در حوزههای مختلف را به منظور سرقت و رمزگذاری دادهها مورد هدف قرار میدادهاند.
پس از حمله به اداره پلیس واشنگتن، این مهاجمان باجافزاری ادعا کردند که فعالیت خود را متوقف کردهاند. با این حال، چند تن از اعضا از گروه جدا شده و با راهاندازی نسخه جدیدی از Babuk (معروف به Babuk V2)، همچنان به اجرای حملات باجافزاری ادامه میدهند.
اخیراً یک گروه تحقیقاتی گزارش کرده که یکی از اعضای گروه Babuk کد این باجافزار را در یک تالار گفتگوی هکرهای روسی زبان منتشر کرده است. این عضو مدعی شده که به دلیل ابتلاء به سرطانی علاجناپذیر، تصمیم به انتشار کد این باجافزار مخرب گرفته است.
تصاویر زیر مطلب ارسالی از سوی این فرد را به دو زبان روسی و انگلیسی نمایش میدهد.
اطلاعات به اشتراک گذاشته شده همانند تصویری که در ادامه نمایش داده شده، شامل پروژههای مختلف Visual Studio است که در آنها فایلهای باجافزار Babuk به تفکیک بسترهای VMware ESXi ،NAS و Windows به چشم میخورد.
در پوشه Windows کدهای برنامهنویسی رمزگذار (Encryptor)، رمزگشا (Decryptor) و یک فایل که به نظر میرسد تولیدکننده کلیدهای خصوصی و عمومی (Private and public key generator) میباشد، قرار داده شده است.
به عنوان مثال، کد برنامهنویسی مربوط به بخش رمزگذاری در ادامه قابل مشاهده است.
به نقل از محققان امنیتی شرکتهای مکآفی (McAfee, LLC) و امسیسافت (.Emsisoft Ltd)، این اطلاعات افشا شده کاملاً معتبر به نظر میرسند.
باجافزار Babuk از الگوریتم رمزنگار Elliptic Curve Cryptography – به اختصار ECC – در فرآیند رمزگذاری خود استفاده میکند. این اطلاعات افشا شده ممکن است شامل کلیدهای رمزگشای ECC برای قربانیان پیشین این باجافزار باشند، هرچند این هنوز تأیید نشده است.
اختلافات میان اعضای این گروه باجافزاری، منجر به فروپاشی گروه و ایجاد گروه جدیدی شده است. یکی از اعضای این گروه در گفتگو با سایت Bleeping Computer عنوان نموده که این اختلافات پس از حمله به اداره پلیس واشنگتن آغاز شده است. به نظر میرسد در پی حمله مذکور، یکی از اعضای اصلی این گروه علیرغم مخالفت سایر اعضاء قصد انتشار عمومی دادههای سرقت شده را داشته است.
پس از نشتدادهها، گروه منشعب شد و فرد اصلی اقدام به راهاندازی یک تالار گفتگوی اینترنتی با عنوان Ramp نمود. سایر اعضا نیز گروه باجافزاری Babuk V2 را راهاندازی نمودند و به انجام حملات باجافزاری خود ادامه دادند. اما خیلی زود تالار گفتگوی Ramp هدف حملات DDoS قرار گرفت. گرداننده این تالار گفتگو، شرکای سابق خود را مسئول این حملات دانست، هر چند که این ادعا توسط تیم Babuk V2 رد شد. مدتی بعد نیز در پی تشدید این اختلافات، یکی از برنامههای سازنده Babukو(Babuk Ransomware Builder) در یک سایت اشتراک فایل فاش شد و توسط گروه دیگری برای راه اندازی حملات باجافزاری مورد استفاده گرفت.