Babuk Ransomware-Bande zielt auf die Polizei in Washington DC

Cyber Security News

Die RaaS-Entwickler zeigten der Polizei den Stinkefinger und sagten: “Wir finden 0 Tag vor Ihnen.”

Die Babuk-Bande von Bedrohungsakteuren behauptet, am Montag mehr als 250 Gigabyte an Daten aus dem Washington D.C. Metropolitan Police Department (MPD) gestohlen zu haben, darunter Polizeiberichte, interne Memos sowie Fahndungsfotos und persönliche Daten von Verhafteten.

Nach Angaben von Vice veröffentlichten die Angreifer die Behauptung und die Daten auf der offiziellen Babuk-Website. Sie kritisierten auch die Sicherheit des MPD und verhöhnten die Strafverfolgungsbehörde, indem sie sagten, dass “Wir finden 0 Tag vor Ihnen” in ihrem Forderungsschreiben, und drohten, noch mehr Daten zu veröffentlichen, wenn ihre Erpressungsforderungen nicht erfüllt werden.

Laden Sie “The Evolution of Ransomware” herunter, um wertvolle Einblicke in aufkommende Trends inmitten eines schnell wachsenden Angriffsvolumens zu erhalten. Klicken Sie oben, um Ihre Verteidigungsintelligenz zu verbessern!

“Wir werden dieses Mal keinen Kommentar abgeben: Auch eine solche Organisation hat große Sicherheitslücken, wir raten ihnen, sich so schnell wie möglich zu melden und uns zu bezahlen, sonst werden wir diese Daten veröffentlichen”, schrieben die Angreifer angeblich.

Das Outlet berichtete, dass Babuk Ordner veröffentlicht hat, die angeblich von der MPD gefiltert wurden und die Namen “Gang Conflict Report”, “BLOODS” und “BEEFS – CONFLICTS.”

Ein MPD-Sprecher bestätigte in einer E-Mail, die am Dienstagmorgen an Threatpost gesendet wurde, dass die Systeme der Abteilung durchbrochen wurden und dass sie das FBI kontaktiert hat.

“Wir sind uns bewusst, dass ein unbefugter Zugriff auf unseren Server stattgefunden hat”, sagte der Sprecher. “Während wir die vollen Auswirkungen bestimmen und weiterhin die Aktivität überprüfen, haben wir das FBI beauftragt, diese Angelegenheit vollständig zu untersuchen.”

Ein weiterer Doppel-Erpressungsversuch?

Die MPD hat nicht bestätigt, dass Dateien gesperrt wurden, wie es bei Ransomware üblich ist. Wenn sich herausstellt, dass die Dateien tatsächlich verschlüsselt wurden, wäre dies ein weiterer doppelter Erpressungsversuch, bei dem die Betreiber nicht nur Dateien sperren, sondern auch Daten stehlen und damit drohen, sie zu veröffentlichen, wenn das Lösegeld nicht bezahlt wird.

Babuk hat in der Vergangenheit bereits gestohlene Dateien veröffentlicht, um den Opfern die Daumenschrauben anzulegen, damit sie zahlen: Eine Taktik, die funktioniert hat. Laut McAfee ist Babuk ein Neuling in dieser speziellen Crimeware-Nische, da er erst im Jahr 2021 entdeckt wurde. Aber die Ransomware wurde bereits bei mindestens fünf großen Unternehmen eingesetzt, mit einem Ergebnis: Sie kam mit 85.000 Dollar davon, nachdem eines dieser Ziele das Geld bezahlt hatte, so die Forscher von McAfee. Zu den Opfern gehörte auch Serco, eine Outsourcing-Firma, die bestätigte, dass sie Ende Januar von einer Ransomware-Attacke mit doppelter Erpressung heimgesucht worden war.

Babuk Ransomware arbeitet nach einem Ransomware-as-a-Service (RaaS)-Modell, d. h., sie lässt ihre Partner die Drecksarbeit machen, während ihre Entwickler einen Teil des Gewinns einstreichen. Nach den Erkenntnissen, die McAfee aus seinen Telemetriedaten gewonnen hat, zielt Babuk derzeit auf die Bereiche Landwirtschaft, Elektronik, Gesundheitswesen, Kunststoff und Transportwesen in verschiedenen Regionen ab. McAfee sagte, dass wir weitere, ähnliche Angriffe mit der gleichen Taktik erwarten können, angesichts der Aktivitäten im Dark Web-Treffpunkt, wo Babuk seine Werbung veröffentlicht, um Partner zu rekrutieren, die seine Malware in die Tat umsetzen.

Dem Opfer die Schuld geben

Avihai Ben-Yossef, CTO von Cymulate, erklärte gegenüber Threatpost in einer E-Mail, dass die Spötteleien der Babuk-Gruppe auf das Problem mit der Verzögerung beim Patchen hinweisen.

“Die Babuk-Gruppe hat das Hauptproblem hervorgehoben, mit dem alle Organisationen konfrontiert sind, wenn sie sich mit Bedrohungen auseinandersetzen müssen, und das ist Geschwindigkeit”, sagte er. “In der Notiz an die Polizei von D.C. oder das MPD schrieben sie ‘wir finden 0 Tag vor Ihnen’. Das ist leider wahr, aber es muss nicht einmal ein Zero Day sein. Die Zeit, die es dauert, bis bekannte Schwachstellen auf allen Systemen gepatcht werden, ist zu lang. Verteidiger, die sich auf manuelle Sicherheitstestmethoden verlassen, sind nicht in der Lage, mit dem Tempo der Bedrohungsakteure mitzuhalten, wenn es darum geht, Sicherheitslücken zu finden und diese zu beheben.”

Wenn es tatsächlich einen Zero-Day gibt, der der Anfälligkeit des MPD zugrunde liegt, wäre es nicht das erste Mal, dass Babuk die Gelegenheit bekommt, sich über die Anfälligkeit seiner Opfer lustig zu machen. Als der Babuk-Doppelerpressungsangriff von Serco am 31. Januar öffentlich gemacht wurde, sagte Miles Tappin, Vizepräsident von ThreatConnect EMEA, gegenüber Computer Weekly, dass der Angriff “systemimmanente Schwächen” aufgedeckt habe.

Leider gehören auch Polizeidienststellen zu den zahlreichen Schulen und staatlichen und lokalen Behörden, die sich als leichte Beute für Angreifer erwiesen haben. Im Jahr 2019 waren insgesamt 113 staatliche oder kommunale Einrichtungen von Ransomware betroffen. Große Städte, darunter Baltimore und Atlanta, wurden in den letzten Jahren durch Angriffe lahmgelegt. Die Wahlinfrastruktur war auch ein Hauptziel im Vorfeld der Wahl 2020, als die Wahldaten von Georgia von einem Ransomware-Angriff betroffen waren.

Schließen Sie sich Threatpost für “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” eine LIVE-Roundtable-Veranstaltung am Mittwoch, 12. Mai um 14:00 Uhr EDT für dieses KOSTENLOSE Webinar gesponsert von Zoho ManageEngine.

Einige Teile dieses Artikels stammen aus:
threatpost.com