Babuk勒索软件–安全公告

Babuk勒索软件是一种积极开发的威胁，主要针对数字服务、工程和医疗保健行业的组织，影响全球多个地区。该勒索软件利用大型游戏猎人策略，通过窃取、加密和泄露受害者数据来勒索高达85,000美元的比特币赎金。

初始妥协
Babuk勒索软件的初始入侵可能涉及利用基础设施漏洞（如RDP和VPN）或被盗凭证，而非广泛的技术（如malspam）。攻击者会在加密前窃取敏感数据（如文档、财务记录、客户和员工数据），并将数据传输到命令与控制（C2）基础设施或合法云服务。

加密过程
Babuk勒索软件在加密阶段会终止与常见应用程序、备份程序、端点安全解决方案和服务器软件相关的服务进程，以阻止恢复。每个实例都包含针对特定受害者的私钥，表明其针对“大鱼”级别的受害者。加密过程中，会利用ChaCha8流密码和椭圆曲线Diffie-Hellman（ECDH）进行密钥生成和加密，且版本4已修复早期版本中存在的有缺陷的公钥生成例程。

勒索阶段
未能满足勒索要求的受害者数据会在Babuk的Tor隐藏服务泄露网站上公开。受害者需通过包含唯一标识符的链接联系攻击者，并支付比特币赎金以获取解密工具。

推荐防御措施

• 员工安全意识培训
• 业务连续性和灾难恢复规划
• 持续监控端点安全事件
• 使用隔离方法（如Microsoft Defender Application Guard）
• 限制对管理工具的访问权限
• 使用应用程序许可和拒绝列表
• 避免支付赎金，并加强补丁管理
• 网络隔离和最小权限原则
• 敏感数据加密和保护

妥协指标（IOC）

• 联系网站：http://babukq4e2p4wu4iq.onion/login.php?id=<受害者标识符>
• 泄露地点：http://gtmx56k4hutn3ikv.onion
• 版本：4ef326291febe84d6b39d2e5cea7e99a02407892729d688c27dcc444a2ae0b5443dda3ee9164d6815a18a2c23651a53c35d52e3a5ad375001ec824cf532c202e6
• 互斥锁：babuk_v3DoYouWantToHaveSexWithCoungDong
• 加密文件扩展名：.__NIST_K571__.babyk
• 已删除文件：如何恢复您的文件.txt
• 文件：%appdata%\\\\ecdh_pub_k.bin

MITRE ATT&CK技术

• T1001 - 数据混淆
• T1005 - 来自本地系统的数据
• T1007 - 系统服务发现
• T1012 - 查询注册表
• T1018 - 远程系统发现
• T1036 - 冒充
• T1055 - 进程注入
• T1055.012 - 进程注入：进程空化
• T1057 - 进程发现
• T1067 - 启动kit
• T1070.004 - 文件删除
• T1081 - 文件中的凭证
• T1082 - 系统信息发现
• T1083 - 文件和目录发现
• T1090 - 代理
• T1091 - 通过可移动介质进行复制
• T1105 - 入侵工具传输
• T1107 - 文件删除
• T1119 - 自动收集
• T1120 - 外设设备发现
• T1135 - 网络共享发现
• T1143 - 隐藏窗口
• T1486 - 数据加密对冲击
• T1490 - 禁止系统恢复
• T1497 - 虚拟化/沙盒规避
• T1518.001 - 安全软件发现
• T1547.001 - 注册表运行键 / 启动文件夹