СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
03.04.2025
#Dev#ИБ

Возрождение Babuk: новый уровень угрозы или маркетинг?

Возрождение Babuk: новый уровень угрозы или маркетинг?

Программы-вымогатели по-прежнему представляют серьезную угрозу для различных секторов, и злоумышленники постоянно совершенствуют свою тактику, чтобы добиться максимального эффекта. Исследование группы, рекламирующей себя как Babuk Locker 2.0, появилось в начале 2025 года, вновь привлекая к себе внимание. Это возрождение заставило исследователей задуматься о том, является ли оно подлинным или просто еще одной попыткой использовать имя Бабука для получения дурной славы.

Кто стоит за Babuk Locker 2.0?

Разведданные, собранные на форумах dark web и Telegram-каналах, показали, что важные обсуждения, связанные с Babuk Locker 2.0, координировались актерами Skywave и Бьоркой. Эти два имени стали известны благодаря следующим действиям:

  • Skywave: Новый опасный хакер, нападающий на высокопоставленные организации и правительственные учреждения, используя конфиденциальные данные.
  • Бьорка: Осуществляет атаки на индонезийские правительственные данные, что расценивается как акт хактивизма.

Обе группы поддерживают активное присутствие на различных платформах, рекламируя утечку данных и указывая на наличие нескольких каналов Telegram.

Методы и тактики

Несмотря на отсутствие ясности в отношении их тактики, методов и процедур (TTP), действия злоумышленников оказывают значительное влияние на [различные отрасли]. Например, файл, идентифицированный как babuk.exe, который первоначально связывали с Babuk Locker 2.0, был проанализирован и показал, что это программа для шифрования LockBit 3.0.

LockBit 3.0 активно использует следующие методы:

  • Шифрование: Методы AES-256 и RSA-2048.
  • Уклонение от обнаружения: Завершение процессов обеспечения безопасности и использование методов сбора данных API.

Проблемы идентификации

Путаница возникает из-за того, что злоумышленники часто проводят ребрендинг, чтобы ввести в заблуждение исследователей и аффилированных лиц. Несколько Telegram-каналов, заявлявших о своей причастности к Babuk Locker 2.0, были помечены как мошеннические, и многие из них были удалены. Это подчеркивает хаотичность появляющейся информации.

Заключение: Нужен ли нам Babuk Locker 2.0?

Дальнейший анализ показал, что Babuk Locker 2.0, скорее всего, является ребрендингом LockBit 3.0, с совпадающими списками жертв из различных групп программ-вымогателей, таких как HellCat и RansomHub. Эта тенденция к переработке устоявшихся тактик и кода при использовании нового бренда заставляет задуматься о реальной угрозе от Babuk 2.0.

Как показывает исследование, это возрождение можно интерпретировать скорее как маркетинговую стратегию, нежели как значительный прогресс в хакерской деятельности. Skywave и Бьорка либо сотрудничают, либо оппортунистически используют имя Babuk для увеличения своего влияния и notoriety.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: