Babuk Ransomware-Bande erwägt Rückzug

Cyber Security News

Die RaaS-Betreiber haben eine Abschiedsnotiz verfasst, in der sie mitteilen, dass sie ihre Datenverschlüsselungs-Malware für andere Gauner zur Verfügung stellen werden.

Nur wenige Tage nachdem Hacker damit geprahlt haben, dass sie angeblich die Computersysteme des Washington D.C. Metropolitan Police Department (MPD) geplündert und so etwas wie dessen Daten erbeutet haben, hat die Babuk Ransomware-as-a-Service (RaaS)-Bande eine Abschiedsnotiz verfasst, die besagt, dass sie ihre Sporen abgibt.

Laut BleepingComputer war die Nachricht kurz, süß und blinkte schnell aus der Existenz, nachdem sie nur für kurze Zeit vorhanden war. Das ist eigentlich so ähnlich wie bei der Gang. Die Bedrohungsgruppe gab es nur für ein paar Monate, bevor sie (möglicherweise) die Bühne verließ. Anders als die Ziggy-Ransomware-Gang bei ihrem kürzlichen Abgang und zum Leidwesen ihrer Opfer, boten die Babuksketeers weder Entschuldigungen noch Rückerstattungen an.

Babuk versprach jedoch, die Fackel an andere Kriminelle weiterzugeben, indem es den Quellcode für die dateiverschlüsselnde Babuk-Malware offenlegte und sagte, dass es ihn öffentlich zugänglich machen würde, sobald es das “Projekt” beendet.

Die Nachricht, die für kurze Zeit auf der Hauptseite der Website der Bande veröffentlicht wurde, wurde Berichten zufolge mehrfach geändert und nach kurzer Zeit wieder entfernt. Aber Dmitry Smilyanets von Recorded Future hat es geschafft, diese Version des Abschiedsbriefes zu erfassen:

BABUK #ransomware hat ihren Abschiedsbrief gelöscht. Aber @RecordedFuture erinnert sich noch! pic.twitter.com/jjSECv3VVh

– 𝕯𝖒𝖎𝖙𝖗𝖞 𝕾𝖒𝖎𝖑𝖞𝖆𝖓𝖊𝖙𝖘 (@ddd1ms) April 29, 2021

Das “PD”, auf das in dieser Version der Notiz Bezug genommen wird, ist ein klarer Hinweis auf das jüngste Opfer der Cyberkriminellen: das MPD. Am Montag hatte die Bande die angeblichen Fahndungsfotos und persönlichen Daten von Verhafteten, Polizeiberichte und interne Notizen veröffentlicht. Die Tatsache, dass sie immer wieder an der Nachricht herumgepfuscht haben, lässt vermuten, dass die Gauner vielleicht noch nicht bereit sind, die Welt zu plagen.

Insbesondere in einer Version der Nachricht von BleepingComputer gesehen, gab es keinen Hinweis auf “PD”. Stattdessen gab es nur Sternchen, wie die Leerzeichen in der Vorlage eines Formulars links, die später bei Bedarf ausgefüllt werden kann.

Nehmen Sie an Threatposts LIVE-Roundtable-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” am Mittwoch, den 12. Mai um 14:00 Uhr EDT teil. Dieses KOSTENLOSE Webinar wird von Zoho ManageEngine gesponsert.

Neu bei RaaS, aber voller Tugendhaftigkeitssignale

Babuk ist neu im RaaS-Geschäft, da es erst Anfang des Jahres entdeckt wurde. Es hat aber schon viel bewirkt: In nur wenigen Monaten hatte es mindestens fünf große Unternehmen im Visier und konnte 85.000 Dollar erbeuten, nachdem eines seiner Opfer das Lösegeld gezahlt hatte. Wir wissen nicht, welches Unternehmen das Lösegeld gezahlt hat, aber wir wissen von einer öffentlichen Bestätigung durch ein betroffenes Unternehmen: Serco, eine Outsourcing-Firma, bestätigte, dass sie Ende Januar von einer Ransomware-Attacke mit doppelter Erpressung heimgesucht worden war. Dabei handelt es sich um einen Angriff, bei dem die Ransomware-Betreiber nicht nur Dateien sperren, sondern auch Daten stehlen und damit drohen, diese zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird.

Als die Bande das erste Mal aus dem Dreck kroch, stellte sie sich selbst als Möchtegern-Robinhood dar. Die Babuk-Betreiber sagten, sie würden keine Krankenhäuser, Non-Profit-Organisationen (es sei denn, sie unterstützen LGBT oder BLM, was vermutlich ihre Voreingenommenheit demonstriert), kleine Unternehmen (unter 4 Millionen US-Dollar Jahresumsatz: Daten, die sie angeblich von Zoom gesammelt haben) und Schulen (außer Universitäten) angreifen. Alle anderen waren Freiwild, einschließlich plastischer Chirurgie und Zahnkliniken (was vermutlich zeigt, dass die Betreiber unter schlechter Zahnmedizin oder verpfuschten Bauchstraffungen gelitten haben könnten) und großen Universitäten.

Randy Pargman, ein 15-jähriger Veteran des FBI und derzeitiger VP of Threat Hunting & Counterintelligence bei Binary Defense, hat Babuk von Anfang an verfolgt. Er erklärte am Donnerstag gegenüber Threatpost, dass die Betreiber hinter dem RaaS entweder wirklich keine Angriffe auf diese Einrichtungen durchführen wollen, oder dass sie nur ein öffentliches Gesicht aufsetzen, um der Welt zu zeigen, dass sie gar nicht so schlecht sind.

Babuks Datenleckseite hat ebenfalls ein Bild gezeichnet, in dem die Unternehmen die Bösen in der Ransomware-Gleichung sind, während die Betreiber die Guten sind, die Sicherheitsprofile “prüfen” und Organisationen “helfen”, indem sie ihre Schwachstellen aufdecken.

Der MPD-Angriff war ein Beispiel für die Tugendhaftigkeit der Bande: In ihrer Anforderungsnotiz verhöhnten die Bedrohungsakteure die Polizei, indem sie sich darauf beriefen, einen Zero-Day vor dem MPD entdeckt zu haben.

Pargman schluckt weder das Tugendsignal noch den Wahrheitsgehalt der Exit-Note ganz. Er vermutet, dass die Bedrohung des Metropolitan Police Department der Hauptstadt der Nation vielleicht ein bisschen mehr Aufmerksamkeit erregt hat, als die Gang erwartet hat, da sie von Orten kommt, die so etwas nicht einfach hinnehmen. “Sie haben wahrscheinlich gemerkt, dass der Druck zu groß wurde, nachdem sie die DC Metro PD bedroht haben, also schließen sie den Laden als Babuk und veröffentlichen ihren Quellcode, um Nachahmer zu ermöglichen und Verwirrung bei der Zuordnung zu stiften”, sagte er in einem Telefongespräch. “Nach einer gewissen Auszeit werden sie mit einer neuen und verbesserten Version ihrer Ransomware zurückkehren und behaupten, eine brandneue Gruppe zu sein, die von der Veröffentlichung des Codes von Babuk profitiert hat, aber vorgeben, dass sie überhaupt nichts mit Babuk zu tun haben.”

Besonders in Anbetracht der jüngsten Nachrichten über Regierungen, die sich zusammenschließen, um die Ransomware-Wirtschaft auszumerzen, sagt Pargman, dass es nur eine Frage der Zeit war, bis das Finanzministerium beschloss, Babuk wegen des MPD-Angriffs auf seine Sanktionsliste zu setzen. Eine Sanktion hätte alle zukünftigen Einnahmen gefährdet, da sie die Gauner von den Zahlungsdienstleistern abgeschnitten hätte, die sie für den Bitcoin-Transfer benötigen.

Aber das Finanzministerium sanktioniert nicht einfach jeden, bemerkte Pargman. Zum einen wählt es Gruppen auf der Grundlage starker Beweise aus, die zeigen, wer hinter dem Chaos steckt, im Gegensatz zu der Art und Weise, wie die Sicherheitsindustrie sich auf technische Indikatoren für Kompromisse verlässt.

Hat sich Babuk die falschen Leute ausgesucht?

Erwägen die Betreiber von Babuk den Rücktritt, weil sie zu erfolgreich waren? Erfolgreich, d.h. groß genug, um Einzelpersonen oder Unternehmen erheblichen Schaden zuzufügen, und dann auch noch die falschen Ziele zu wählen? Pargman weist darauf hin, dass das offensichtliche Doxxing von Polizeidaten durch die Babuk-Gang die Art von Verbrechen ist, die den polizeilichen Ermittlungen einen Strich durch die Rechnung machen kann, was möglicherweise zu Verletzungen oder sogar zum Tod führt. Wenn beispielsweise die Identität von Polizeiinformanten bei einem Doppelerpressungsangriff auf eine Strafverfolgungsbehörde durchsickern würde, könnte dies dazu führen, dass Kriminelle die Informanten töten.

“Ich weiß nicht, ob Babuk ein Ziel einer Sanktion des Finanzministeriums wird oder nicht”, sagte Pargman. “Was ich aber erwarte, ist, dass die Ergebnisse aus den Datenlecks der [MPD] und welche Ergebnisse auch immer [from those leaks] wird wahrscheinlich der größte bestimmende Faktor sein, ob sie in Zukunft sanktioniert werden oder nicht. Wenn sie eine große Menge an sensiblen Informationen veröffentlichen, die laufenden Ermittlungen der Strafverfolgungsbehörden schaden oder Kriminellen Tipps geben oder sie wissen lassen, wer Informanten sind, und das dazu führt, dass sie getötet werden, [that] könnte die Aufmerksamkeit der US-Regierung erregen, um herauszufinden, wer die Leute sind, die hinter diesem Schaden stehen, und um sie zu sanktionieren.”

Eine vergleichbare Situation ereignete sich letztes Jahr in Deutschland: Ein Patient starb im September 2020 in einem Rettungswagen, der umgeleitet worden war, weil ein Krankenhaus durch Ransomware lahmgelegt worden war. Die Polizei leitete eine Untersuchung wegen fahrlässiger Tötung ein und sagte, dass sie möglicherweise die Hacker dafür verantwortlich machen würde: das erste Mal, dass die Strafverfolgungsbehörden einen Cyberangriff als direkt verantwortlich für einen Todesfall ansahen. Später wurde festgestellt, dass der Patient an anderen Ursachen gestorben war, was einen deutschen Staatsanwalt dazu veranlasste, die Mordanklage fallen zu lassen, aber es zeigt immer noch, wie viel ernster staatliche Stellen Cyberkriminalität nehmen, wenn Menschenleben auf dem Spiel stehen.

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook “2021: The Evolution of Ransomware” (Die Entwicklung von Ransomware), um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status Quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Holen Sie sich die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com