Babuk Ransomware Builder taucht auf mysteriöse Weise in VirusTotal auf

  • Der Quellcode der Bande ist nun für Rivalen und Sicherheitsforscher gleichermaßen verfügbar – und ein Entschlüsselungsprogramm ist wahrscheinlich nicht mehr weit entfernt.

    Der Quellcode der Babuk-Ransomware-Gang wurde auf VirusTotal hochgeladen und steht damit allen Sicherheitsanbietern und Konkurrenten zur Verfügung. Es ist jedoch unklar, wie das passiert ist.

    Laut einem Posting von Malwarebytes vom Mittwoch hatten die Betreiber der Ransomware – vielleicht am bekanntesten durch den Angriff auf die Polizei in Washington D.C. im April – ihrem Publikum in Untergrundforen mitgeteilt, dass sie aus dem Verschlüsselungsgeschäft aussteigen würden. Die Gauner versprachen stattdessen, sich auf einen “Steal, Leak and Shame”-Ansatz umzustellen, der sich auf Datendiebstahl und Erpressung konzentriert.

    Laut Malwarebytes, kündigte die Gruppe:

    “Babuk ändert die Richtung, wir verschlüsseln keine Informationen mehr in Netzwerken, wir werden zu Ihnen kommen und Ihre Daten nehmen, wir werden Sie darüber informieren, wenn Sie sich nicht melden, machen wir eine Ankündigung”, hieß es in dem Beitrag im Hacker-Forum. Getrennt davon wurde geschrieben: “Das Babuk-Projekt wird geschlossen, sein Quellcode wird öffentlich zugänglich gemacht, wir werden so etwas wie ein Open-Source-RaaS machen, jeder kann sein eigenes Produkt auf der Basis unseres Produkts machen.”

    Der “Open-Source-Ransomware-as-a-Service”-Ansatz ist etwas, das vor kurzem gesehen wurde, als die Paradise-Gang ihren Quellcode in ein Hacking-Forum hochgeladen hat.

    Nach dem Vorfall in Washington könnte es sein, dass die Bande den Druck der Strafverfolgungsbehörden zu spüren bekam – mehrere Ransomware-Crews, darunter die Darkside-Gruppe, die für den Angriff auf die Colonial Pipeline verantwortlich war, haben eine verstärkte und unwillkommene Kontrolle durch die internationalen Strafverfolgungsbehörden als Grund für die Änderung ihrer Zielwahl und Crimeware-Ansätze angeführt.

    Die Ankündigung wurde von der Sicherheitsgemeinschaft mit Skepsis aufgenommen, und tatsächlich schienen die Operationen nicht aufzuhören. Babuk benannte jedoch seine Leck-Site in “Payload.bin” um und nahm damit seinen eigenen Namen aus der Sache heraus.

    “Es muss gesagt werden, dass die Babuk-Betreiber immer ein wenig wankelmütig in ihrer Kommunikation waren. In einem Moment kündigten sie etwas an, nur um es kurz darauf zu löschen und eine neue Erklärung abzugeben”, heißt es in dem Malwarebytes-Posting. “Wie unser geschätzter Kollege Adam Kujawa, Direktor von Malwarebytes Labs, sagte, als Maze seinen Rückzug ankündigte: ‘Ransomware-Akteure sind professionelle Lügner und Betrüger; alles zu glauben, was sie sagen, ist ein Fehler.'”

    Aber jetzt, zwei Monate später, wurde der Babuk-Builder, mit dem die einzigartigen Payloads und Entschlüsselungsmodule der Ransomware erstellt wurden, öffentlich gemacht, so die Forscher. Und es ist rätselhaft, warum.

    “Es ist schon eine Weile her, dass Malware-Autoren dumm genug waren, ihre Arbeit auf [VirusTotal] VT hochzuladen, um zu prüfen, ob es von der Anti-Malware-Industrie erkannt werden würde oder nicht”, so Malwarebytes. “Die Anbieter, die bei VT mitarbeiten, haben Zugriff auf alle Dateien, die dort hochgeladen werden. Wenn ihre frisch erstellte Malware also nicht sofort erkannt wurde, würde sie es kurz darauf tun. Seit dieser Zeit haben Malware-Autoren ihre eigenen Dienste, um diese Überprüfungen durchzuführen, ohne ihre Arbeit mit den Anti-Malware-Anbietern zu teilen… Indem sie den Builder auf VirusTotal hochgeladen haben, haben sie im Grunde den Quellcode verfügbar gemacht.”

    Der unabhängige Forscher Kevin Beaumont sagte, er sei in VT “darüber gestolpert”, als er sich eine Sandbox ansah.

    Ransomware-Leck-Zeit – Babuks Erbauer. Wird für die Erstellung von Babuk-Payloads und Entschlüsselung verwendet.

    builder.exe Foldername, z. B. builder.exe Opfer spuckt Payloads für:

    Windows, VMware ESXi, Network Attached Storage x86 und ARM.

    note.txt muss ransom.https://t.co/K3J3zr1XBv enthalten pic.twitter.com/1bl7oc0TvO

    – Kevin Beaumont (@GossiTheDog) June 27, 2021

    Er sagte auch, dass der Code Entschlüsselungsprogramme für bestimmte Versionen der Malware “ausspuckt”. Malwarebytes sagte unterdessen, dass es daran arbeitet, zu verstehen, ob der Builder genug Informationen enthält, um einen Babuk-Entschlüsseler zu erstellen.

    Laut einem separaten Bericht von BleepingComputer ist der spezifische Code für die Erstellung von Malware gedacht, die auf Windows-Systeme, VMWare ESXi-Server und ARM-basierte NAS-Geräte (Network-Attached Storage) abzielt. In der Zwischenzeit werden neue Babuk-Angriffe gestartet, die die durchgesickerten Informationen nutzen, so die Quelle, wobei die Kriminellen nur 0,06 Bitcoin pro Angriff verlangen – etwa 210 Dollar.

    Warum laden Sie den Babuk Builder auf VirusTotal hoch?

    Die Agenten hinter dem VT-Upload von Babuk sind nicht klar. Es gibt jedoch ein paar mögliche Szenarien.

    Zum einen könnte es sich um rivalisierende Ransomware-Gangs handeln, die im Grunde die Babuk-Crew in die Knie zwingen und aus dem Weg räumen wollen. Das ist eine Möglichkeit, die laut den Forschern nur dann Sinn machen würde, wenn die Konkurrenten das Versprechen von Babuk, aus dem Ransomware-Geschäft auszusteigen, unbedingt einhalten wollen.

    Eine andere Möglichkeit ist, dass eine zufällige Person über die Datei gestolpert ist und neugierig war, ob sie bösartig ist. Wie die Forscher jedoch feststellten, “ist es sehr unwahrscheinlich, dass jemand diese Datei erhält, ohne zu wissen, was sie ist.”

    Zwei andere Möglichkeiten – beide unwahrscheinlich, laut der Analyse – sind, dass 1) ein Babuk-Mitarbeiter überprüfen wollte, ob der Code von Antivirenprogrammen erkannt werden kann; oder 2) dies ist der Umweg, dass Babuk beschlossen hat, seinen Code Open-Source zu machen.

    In beiden Szenarien ist es wahrscheinlicher, dass der Besitzer der Datei die regulären Netzwerkkanäle der Cyberkriminalität für solche Aktivitäten nutzen würde, so die Firma.

    “Für die erste Option würden sie einen Dienst nutzen, der sie nicht mit Anti-Malware-Anbietern teilt”, so die Forscher – und für die zweite Hypothese würden sie dies sicherlich über ihre üblichen Kanäle bekannt machen, wenn dies der Plan war.”

    Es bleibt ein Rätsel – vorerst.

    “Vielleicht haben wir das Szenario, das beschreibt, was wirklich passiert ist, übersehen”, bemerkten die Forscher von Malwarebytes. “Eine weitere Tatsache, die irgendwie von Bedeutung sein könnte, ist, dass die Forscher mehrere Fehler in Babuks Ver- und Entschlüsselungscode gefunden haben. Diese Fehler tauchen auf, wenn ein Angriff ESXi-Server betrifft, und sie sind schwerwiegend genug, um zu einem totalen Datenverlust beim Opfer zu führen.”

    Schauen Sie sich unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com