Ransomware Babuk Locker hoạt động trở lại, tấn công khắp thế giới

Babuk Locker là một hoạt động ransomware ra đời vào đầu năm 2021, nhắm vào các công ty, đánh cắp dữ liệu của họ và tống tiền.

Sau khi thực hiện một cuộc tấn công vào Sở Cảnh sát Thủ đô (MPD) của Washington DC, băng đảng ransomware đã dừng hoạt động vào tháng 4 và chuyển sang mô hình tống tiền dữ liệu không mã hóa dưới tên PayLoad Bin.

Tuần trước, nhà nghiên cứu bảo mật Kevin Beaumont phát hiện ra ai đó đã tải trình tạo ransomware của hoạt động Babuk lên VirusTotal.

Việc tạo ransomware tùy chỉnh thật đơn giản. Tất cả những gì mà tác nhân đe dọa phải làm là sửa đổi ghi chú kèm theo, bao gồm thông tin liên hệ. Sau đó, chạy tệp có thể thực thi được để tạo bộ mã hóa và giải mã ransomware tùy chỉnh, mục tiêu là Windows, VMware ESXi, Network Attached Storage (NAS) x86 và thiết bị NAS ARM.

Ngay sau khi trình tạo ransomware này bị rò rỉ trực tuyến, một kẻ đe dọa bắt đầu sử dụng nó để khởi động chiến dịch ransomware.

Vào ngày 29 tháng 6, trên Reddit, một nạn nhân báo cáo họ bị tấn công bởi phần mềm tự xưng "Babuk Locker".

BleepingComputer dẫn lời nhà nghiên cứu bảo mật MalwareHunterTeam cho hay, bắt đầu từ ngày 29 tháng 6, ID Ransomware nhận được sự gia tăng đột biến về Babuk Locker.

Nạn nhân đến từ khắp nơi trên thế giới và các ghi chú đòi tiền chuộc đều được gửi từ địa chỉ email của kẻ đe dọa.

Giống như hoạt động ban đầu, cuộc tấn công ransomware này thêm phần mở rộng .babyk vào tên tệp được mã hóa và đưa ra ghi chú đòi tiền chuộc có tên How To Restore Your Files.txt.

So với yêu cầu hàng trăm nghìn, hàng triệu USD trong lần hoạt động đầu tiên, lần này chúng chỉ đòi 210 USD từ nạn nhân.

Locker sử dụng trang thanh toán Tor chuyên dụng để thương lượng với nạn nhân. Tuy nhiên, các cuộc tấn công mới đang sử dụng email, cụ thể là babukransom@tutanota.com, để liên lạc với nạn nhân.

Không rõ ransomware đang được phát tán như thế nào, nhưng đã có một chủ đề giúp các nạn nhân có thể chia sẻ thêm thông tin về cuộc tấn công của Babuk Locker.