C’est une nouvelle année, et avec elle vient un nouveau ransomware appelé Babuk Locker qui cible les entreprises victimes d’attaques humaines.

Babuk Locker est une nouvelle opération de ransomware qui a été lancée au début de 2021 et a depuis amassé une petite liste de victimes du monde entier.

Des négociations de rançon avec les victimes vues par BleepingComputer, les demandes vont de 60000 USD à 85000 USD en Bitcoin.

Comment Babuk Locker crypte les appareils

Chaque exécutable Babuk Locker analysé par BleepingComputer a été personnalisé par victime pour contenir une extension codée en dur, une note de rançon et une URL de victime Tor.

Selon le chercheur en sécurité Chuong Dong, qui a également analysé le nouveau ransomware, le codage de Babuk Locker est amateur mais comprend un cryptage sécurisé qui empêche les victimes de récupérer leurs fichiers gratuitement.

«Malgré les pratiques de codage amateur utilisées, son système de cryptage fort qui utilise l’algorithme Diffie – Hellman à courbe elliptique s’est avéré efficace pour attaquer de nombreuses entreprises jusqu’à présent», a déclaré Dong dans son rapport.

Une fois lancés, les acteurs de la menace peuvent utiliser un argument de ligne de commande pour contrôler comment le ransomware doit crypter les partages réseau et s’ils doivent être cryptés avant le système de fichiers local. Les arguments de ligne de commande qui contrôlent ce comportement sont répertoriés ci-dessous:

-lanfirst
-lansecond
-nolan

Une fois lancé, le ransomware mettra fin à divers services et processus Windows connus pour garder les fichiers ouverts et empêcher le cryptage. Les programmes terminés comprennent des serveurs de base de données, des serveurs de messagerie, des logiciels de sauvegarde, des clients de messagerie et des navigateurs Web.

Lors du cryptage des fichiers, Babuk Locker utilisera une extension codée en dur et l’ajoutera à chaque fichier crypté, comme indiqué ci-dessous. L’extension actuellement codée en dur utilisée pour toutes les victimes jusqu’à présent est .__ NIST_K571__.

Fichiers cryptés Babuk Locker
Fichiers cryptés Babuk Locker
Source: BleepingComputer

Une note de rançon nommée Comment restaurer vos fichiers.txt sera…

Voir la source de cette publication