Babuk Locker باج‌افزاری سازمانی جدیدی است که از ابتدای سال ۲۰۲۱ شروع به فعالیت کرده و تا کنون موفق به آلوده‌سازی چند شرکت در نقاط مختلف جهان و سرقت اطلاعات از آن‌ها شده است.
به گزارش معاونت بررسی مرکز افتا به نقل از سایت bleepingcomputer، مبالغ اخاذی شده از قربانیان بین ۶۰ تا ۸۵ هزار دلار که در قالب بیت‌کوین دریافت می‌شود.
روش کار مهاجمان در هر حمله، خاص آن سازمان بوده و به اصطلاح به‌صورت Human-operated اجرا می‌شود.
برای مثال، پسوند الصاقی به فایل‌های رمز شده و محتوای اطلاعیه باج‌گیری (Ransom Note) مختص هر حمله است.
اگر چه برخی، کدنویسی Babuk Locker را آماتوری توصیف کرده‌اند اما به دلیل بهره‌گیری آن از الگوریتم‌های ChaCha۸ و Elliptic-curve Diffie–Hellman به نظر نمی‌رسد که رمزگشایی رایگان فایل‌های رمز شده توسط این باج‌افزار ممکن باشد. 
Babuk Locker دارای سوییچ‌هایی است تعیین می‌کنند که رمزگذاری پوشه‌های اشتراکی قبل یا بعد از فایل‌های محلی (Local) انجام شود و یا اصلا به پوشه‌های اشتراکی دست‌درازی نشود. فهرست این سوییچ‌ها به‌شرح زیر است:

-lanfirst

-lansecond

-nolan

به‌محض اجرای باج‌افزار چندین سرویس Windows و پروسه‌هایی که مانع از رمزگذاری فایل‌های باز شده در بستر آن‌ها می‌گردند متوقف می‌شوند. از جمله این برنامه‌ها می‌توان به پایگاه‌های داده، سرورهای ایمیل، نرم‌افزارهای مدیریت پشتیبان، نرم‌افزارهای مدیریت ایمیل و مرورگرهای وب است.
Babuk Locker به فایل‌های رمز شده پسوند را که در کد درج شده الصاق می‌کند. برای مثال در تصویر پسوند الصاق شده __NIST_K۵۷۱__ بوده است.

How To Restore Your Files.txt به‌عنوان فایل اطلاعیه باج‌گیری در هر پوشه کپی می‌شود. فایل مذکور حاوی لینک به سایتی در شبکه ناشناس Tor است. 

سایت گردانندگان Babuk Locker در Tor صفحه‌ای ساده و عاری از هر گونه طراحی خاص است و تنها امکان گفتگو (Chat) قربانی با مهاجمان را فراهم می‌کند.
در نمونه‌ای از گفتگوی انجام شده مهاجمان پرسیده بودند که آیا قربانی دارای بیمه سایبری است و آیا از شرکت‌های فعال در بازگرداندن فایل‌های رمزگذاری شده مشاوره گرفته‌اند.

به‌منظور انجام رمزگشایی آزمایشی یا ارائه رمزگشا، مهاجمان از قربانی می‌خواهند که فایل زیر را که حاوی کلید ECDH است ارسال کند.

%AppData%\ecdh_pub_k.bin

در بسیاری از حملات باج‌افزاری موسوم به Human-operated، مهاجمان، پیش از رمزگذاری و از دسترس خارج کردن فایل‌ها، داده‌های بااهمیت را سرقت می‌کنند. در ادامه، قربانی تهدید می‌شود که در صورت عدم پرداخت مبلغ اخاذی‌شده، اطلاعات سرقت شده به صورت عمومی منتشر و افشا خواهد شد. Babuk Locker نیز از این قاعده مستثنی نیست. اما بر خلاف بسیاری از این باج‌افزارها که صاحبان آن‌ها اقدام به راه‌اندازی سایت‌های به اصطلاح Leak Site می‌کنند گردانندگان Babuk Locker از یک تالار گفتگوی اینترنتی (Forum) برای نشت داده‌های قربانیان خود استفاده می‌کنند.
حداقل یکی از قربانیان، مبلغ ۸۵ هزار دلار اخاذی شده توسط این مهاجمان را پرداخت کرده است.

نشانه‌های آلودگی
درهم‌ساز

e۱۰۷۱۳a۴a۵f۶۳۵۷۶۷dcd۵۴d۶۰۹bed۹۷۷

منابع:

https://www.bleepingcomputer.com/news/security/babuk-locker-is-the-first-new-enterprise-ransomware-of-۲۰۲۱/http://chuongdong.com/reverse%۲۰engineering/۲۰۲۱/۰۱/۰۳/BabukRansomware/