Программы-вымогатели по-прежнему представляют серьезную угрозу для различных секторов, и злоумышленники постоянно совершенствуют свою тактику, чтобы добиться максимального эффекта. Исследование группы, рекламирующей себя как Babuk Locker 2.0, появилось в начале 2025 года, вновь привлекая к себе внимание. Это возрождение заставило исследователей задуматься о том, является ли оно подлинным или просто еще одной попыткой использовать имя Бабука для получения дурной славы.
Кто стоит за Babuk Locker 2.0?
Разведданные, собранные на форумах dark web и Telegram-каналах, показали, что важные обсуждения, связанные с Babuk Locker 2.0, координировались актерами Skywave и Бьоркой. Эти два имени стали известны благодаря следующим действиям:
- Skywave: Новый опасный хакер, нападающий на высокопоставленные организации и правительственные учреждения, используя конфиденциальные данные.
- Бьорка: Осуществляет атаки на индонезийские правительственные данные, что расценивается как акт хактивизма.
Обе группы поддерживают активное присутствие на различных платформах, рекламируя утечку данных и указывая на наличие нескольких каналов Telegram.
Методы и тактики
Несмотря на отсутствие ясности в отношении их тактики, методов и процедур (TTP), действия злоумышленников оказывают значительное влияние на [различные отрасли]. Например, файл, идентифицированный как babuk.exe, который первоначально связывали с Babuk Locker 2.0, был проанализирован и показал, что это программа для шифрования LockBit 3.0.
LockBit 3.0 активно использует следующие методы:
- Шифрование: Методы AES-256 и RSA-2048.
- Уклонение от обнаружения: Завершение процессов обеспечения безопасности и использование методов сбора данных API.
Проблемы идентификации
Путаница возникает из-за того, что злоумышленники часто проводят ребрендинг, чтобы ввести в заблуждение исследователей и аффилированных лиц. Несколько Telegram-каналов, заявлявших о своей причастности к Babuk Locker 2.0, были помечены как мошеннические, и многие из них были удалены. Это подчеркивает хаотичность появляющейся информации.
Заключение: Нужен ли нам Babuk Locker 2.0?
Дальнейший анализ показал, что Babuk Locker 2.0, скорее всего, является ребрендингом LockBit 3.0, с совпадающими списками жертв из различных групп программ-вымогателей, таких как HellCat и RansomHub. Эта тенденция к переработке устоявшихся тактик и кода при использовании нового бренда заставляет задуматься о реальной угрозе от Babuk 2.0.
Как показывает исследование, это возрождение можно интерпретировать скорее как маркетинговую стратегию, нежели как значительный прогресс в хакерской деятельности. Skywave и Бьорка либо сотрудничают, либо оппортунистически используют имя Babuk для увеличения своего влияния и notoriety.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Возрождение Babuk: новый уровень угрозы или маркетинг?".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.