Babuk ransomware’s full source code leaked on hacker forum
2021/09/03 BleepingComputer — ある脅威アクターが、ロシア語ハッキング・フォーラムで、ランサムウェア Babuk の完全なソースコードをリークした。Babuk Locker は、Babyk とも呼ばれているが、2021年の初めに企業をターゲットにしてデータを盗み出し暗号化するという、二重窃取の手法を用いるランサムウェアである。
このランサムウェア・ギャングは、ワシントン DC の警視 (MPD) を攻撃したことで、米国の法執行機関から目をつけられ、自ら活動を停止すると主張していた。しかし、グループのメンバーが分裂し、このランサムウェアを Babuk V2 として再始動させ、現在も被害者のデータを暗号化し続けている。
ハッキング・フォーラムで公開されたソースコード
セキュリティ研究者の vx-underground が最初に注目したのは、Babuk グループのメンバーとされる人物が、ランサムウェアの完全なソースコードを、人気のロシア語ハッキング・フォーラムで公開したことだった。このメンバーは、末期がんを患っていると主張し、”人間らしく生きる “ためにソースコードの公開を決めたと述べている。
このソースコードには、ランサムウェアの実行ファイルの作成に必要な、すべてのものが含まれているため、BleepingComputer では、ソースコードへのリンクを再編集しているところだ。この共有ファイルには、VMware ESXi / NAS / Windows の暗号化するための、それぞれの Visual Studio Babukラ ンサムウェア・プロジェクトが含まれている。Windows フォルダには、Windows のための、暗号装置/復号装置/秘密鍵/公開鍵と思われる、完全なソースコードが含まれている。
Emsisoft の CTO で、ランサムウェアの専門家でもある Fabian Wosar は BleepingComputer に対して、今回のリークは正当なものであると思われる。また、過去の被害者のための復号鍵も含まれる可能性があると述べている。Babuk ランサムウェアは、その暗号化ルーチンの一部として楕円曲線暗号 (ECC : Elliptic Curve Cryptography) を使用している。
今回のリークには、特定の被害者のためにコンパイルされた、暗号化と復号化などのフォルダも含まれる。Wosar は BleepingComputer に対して、これらのフォルダには、被害者のための ECC 復号鍵であるカーブ・ファイルも含まれていると説明するが、それについては、まだ確認されていない。合計で 15個 のフォルダに、復号化キーのカーブ・ファイルが入っているのだろう。
背信と裏切りの物語について
Babuk Locker には、グループの分裂につながった、背信と裏切りにまつわる公然とした歴史がある。BleepingComputer は、ある Babuk メンバーから、ワシントン DC 警視 (MPD) への攻撃の後に、グループが分裂したことを聞いている。この攻撃の後に、Admin は宣伝のために、警視のデータをリークしようとしたが、他のメンバーは反対した。そして、データは流出し、グループは分裂し、Admin はサイバー犯罪フォーラム Ramp を、残りのメンバーは Babuk V2 を立ち上げ、それぞれが犯罪行為を続けている。
Admin が Ramp を立ち上げた直後に、連続して DDoS 攻撃を受け、新しいサイトが使用できなくなった。Admin は、一連の攻撃は、かつてのパートナーによるものだと主張したが、Babuk V2 チームは BleepingComputer に対して、自分たちには責任がないと語っている。脅威アクターたちは、「昔の Admin やフォーラムには興味がない」と、BleepingComputer に語っている。さらに、Babuk のランサムウェア・ビルダーがファイル共有サイトに流出し、別のグループのランサムウェア運用に利用されたことで、このグループの論争に拍車がかかった。ただし、背信と裏切りの話は、Babuk だけではないようだ。
Fabian Wosar は、脅迫アクターと連絡を取るための Jabber アカウントを立ち上げた、その後に、彼はパートナーから、不当な扱いを受けたと感じるようになり、復讐のために情報をリークすることを決めたいう。そのような情報を、この脅威アクターから受け取ったともツイートしている。Wosar は BleepingComputer に対して、この情報を利用することで、継続していたランサムウェア攻撃を防ぐことができたと語っている。
儲かれば内紛というのは、どの世界にも共通する出来事ですね。内紛へと上手く導けば、脅威アクターたちの勢いを削ぐことも可能でしょう。世界を巻き込む諜報戦が、すでに始まっている感じもします。似たような話が、Conti にも起こっています。よろしければ、「Conti ランサムウェアが内部分裂:怒りのアフィリエイトが Play Book を暴露した」と、「Conti PlayBook 英訳版:ランサムウェアの手口が明らかに」をご参照ください。後者には、その英語版 PlayBook がダウンロードできる、URL も貼っています。
IoT OT Security News 