Спецпроекты

Безопасность Стратегия безопасности Бизнес Кадры Интернет

Смертельно больной хакер выложил в Сеть исходниики знаменитого трояна

На киберкриминальном форуме появились все исходные коды шифровальщика-вымогателя Babuk под разные среды. Выложивший их утверждает, что смертельно болен и хочет «пожить как человек».

Люди и шифробабайки

Весь исходный код шифровальщика Babuk выложен в общий доступ на хакерском форуме.

Babuk (также известный как babYk или babak) - один из самых заметных шифровальщиков-вымогателей этого года. В основном с его помощью атаковали бизнес-структуры: помимо шифрования, вредонос выкрадывал ценные данные, так что с жертв требовали двойной выкуп - и за расшифровку, и за возвращение украденного.

В апреле Babuk атаковал полицейское управление столицы США Вашингтона. Злоумышленники заявили тогда, что выкрали 250 ГБ данных и заявили, что у руководства полицейского управления - три дня, чтобы начать переговоры с вымогателями, в противном случае данные о их информаторах будут переданы другим преступным группировкам.

После этого, как пишет издание Bleeping Computer, правоохранительные органы США вплотную занялись участниками Babuk. Настолько вплотную, что группировка очень скоро объявила о сворачивании всей деятельности. Впрочем, её часть откололась и позднее возобновила деятельность под названием Babuk V2.

Группа исследователей vx-underground обнаружила на одном из русскоязычных хакерских форумов сообщение - предположительно, от одного из операторов шифровальщика, - в котором тот пишет, что жить ему «уже недолго», и что он хочет успеть «пожить как человек».

В твиттере vx-underground указывается, что автору сообщения 17 лет, и что у него финальная стадия рака лёгких.

Полный набор

Выложенные исходники позволяют скомпилировать полностью функциональный вредонос под Windows, VMwaver ESXi и NAS.

В папке версии под Windows содержится шифровальщик, средства дешифровки и генератор публичного и приватного ключей.

Сторонние эксперты, изучившие исходники, в частности технический директор Emsisoft Фабиан Вузар (Fabian Wosar) и специалисты McAfee Enterprise подтвердили достоверность утекшего исходного кода. Вузар считает, что в ней могут содержаться и ключи дешифровки для прошлых жертв шифровальщика.

Babuk использует шифрование на основе эллиптических кривых. В утекшем архиве обнаружились каталоги, в которых содержатся средства шифрования и дешифровки, скомпилированные для конкретных жертв. По мнению Вузара, в этих каталогах могут также содержаться файлы с ключами дешифрования для тех же жертв, хотя пока это подтвердить не удалось.

Игра престолов

История Babuk сама по себе ещё более многослойна, чем кажется на первый взгляд.

После атаки на Полицейское управление Вашингтона, лидер группировки (известный как «Админ») настаивал на том, чтобы слить все украденные данные в открытый доступ. Это подвергло бы угрозе жизни множества людей, так что остальные участники группировки резко выступили против. Издание Bleeping Computer цитирует одного из участников банды: «Мы не то, чтобы хорошие парни, но даже для нас это было бы слишком».

Конфликт привёл к распаду группировки; после «официального закрытия» быстро появился Babuk V2, - его создали как раз оппоненты «Админа», не желавшие сливать данные, украденные у полицейских Вашингтона.

Сам «Админ», в свою очередь, создал скандальный хакерский форум Ramp специально для шифрогруппировок. Это произошло после того, как несколько других хакерских форумов - XSS, RAID и Exploit, - запретили у себя любые упоминания шифровальщиков.

Практически сразу RAMP сам начал подвергаться вымогательству со стороны неизвестных: форум засмпаливали порнографией, требуя 5000 долларов за прекращение атаки.

«Админ» утверждал, что эту атаку устроили его бывшие подельники. Те это категорически отрицают.

Кроме того, кто-то ещё раньше слил компилятор для Babuk на шеринговом сайте, и какая-то другая группировка использовала его запуска собственных «операций».

«В киберкриминальном подполье постоянно бушуют «драмы», поскольку его участники постоянно пытаются друг друга оставить с носом, - говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Иногда трения приводят к тому, что бывшие «партнёры» начинают активно саботировать друг другу деятельность - из банальных обид, а не из-за того, что кому-то там осталось жить несколько месяцев и он решил сделать «благородный жест». История с онкологическим заболеванием вполне может быть выдумкой».

Сам Фабиан Вузар отметил, что в какой-то момент создал анонимный Jabber-аккаунт, на который обиженные жизнью и партнёрами злоумышленники могли бы направлять свои жалобы друг на друга. Как ни странно, это сработало, и Вузару и его коллегам удалось предотвратить массу готовящихся атак, - просто потому что ему сливали информацию о них загодя.

Роман Георгиев

Короткая ссылка