Babuk ランサムウェアの復号ツールが無償でリークされた

Babuk ransomware decryptor released to recover files for free

2021/10/27 BleepingComputer — チェコのサイバーセキュリティ・ソフトウェア企業である Avast は、Babuk ランサムウェアの被害者に対して、ファイルを復元する復号ツールを作成し、無料で公開した。Avast Threat Labs によると、Babuk の復号ツールは、流出したソースコードと復号キーを使用して作成されたとのことだ。

この無料の復号化ツールは、拡張子を .babuk/.babyk/.doydo 用いてファイルを暗号化された、Babuk の被害者が使用できる。

Babuk ランサムウェアの被害者は、Avast のサーバーから復号ツールをダウンロードし、復号ツールの UI に従い、パーティション全体を一括で復号できる。BleepingComputer のテストによると、この復号ツールは、Babuk のソースコード・ダンプの一部としてキーが流出した、被害者に対してのみ有効のようだ。

ランサムウェアと復号化キーの流出

Babuk グループのランサムウェアの完全なソースコードは、先月にロシア語圏のハッキング・フォーラムにおいて、このランサムウェア・グループのメンバーを名乗る脅威アクターによりリークされている。

このコードがリークされた理由としては、Babuk メンバーとされる人物が、末期がんの状態にあることが動機となっているようだ。彼はリークの投稿の中で、「人間として生きなければならない間にソースコードを公開することを決めた」と述べている。

共有されたアーカイブには、VMware ESXi/NAS/Windows 用の、それぞれの暗号化 Visual Studio Babuk ランサムウェア・プロジェクトが含まれている。Windows フォルダには、Windows 用の暗号化装置/復号装置/秘密鍵/公開鍵などの、完全なソースコードが含まれている。また、このランサムウェアの被害者のために作成された、暗号化器や復号器も含まれている。

Emsisoft の CTO である Fabian Wosar は、BleepingComputer に対して、このソースコードは合法的なものであり、アーカイブには過去の被害者のための復号鍵も含まれている可能性があると述べている。

Babuk のトラブルの歴史

Babuk Locker は、Babyk および Babuk としても知られており、2021年から企業をターゲットにしてデータを盗み、暗号化することを開始したランサムウェアである。ワシントンD.C. 警察を攻撃した後に、彼らは米国の法執行機関に狙われることになり、その影響を受けて活動を停止したと主張している。このインシデントの後に、Babuk の管理者は盗んだ MPD のデータをネット上に流して宣伝しようとしたが、他のメンバーは反対したとされる。

その後、Babuk のメンバーは分裂し、最初の管理者は Ramp Cybercrime Forum を立ち上げたが、他のメンバーは Babuk V2 の名前でランサムウェアを再立ち上げ、その後も、標的とする被害者のデータを暗号化を続けている。Ramp Cybercrime Forum が開設された直後に、同サイトは DDoS 攻撃の標的となり、最終的には停止に追い込まれた。Babuk の管理者は、この事件について元パートナーを非難したが、Babuk V2 のチームは BleepingComputer に対して、この攻撃への関与を否定している。

9月3日に「Babuk ランサムウェアの全ソースコードがハッカー・フォーラムにリーク!」という記事をポストしましたが、今度は複合キーの流出となりました。Bubak の内紛については、上記のリンクからも詳細が得られます。8月にポストした、「Conti ランサムウェアが内部分裂:怒りのアフィリエイトが Play Book を暴露した」では、別の内紛について詳細が記されています。今年、それぞれのランサムウェアに莫大な資金が流れたことを考えると、こうした内紛が続くことについて納得できでしまいます。

%d bloggers like this: