Babuk

Überblick

Babuk ist eine technisch ausgereifte Ransomware-Familie, die für mehrere Plattformen kompiliert vorliegt und sich dadurch breit gegen unterschiedliche Zielumgebungen einsetzen lässt. Am häufigsten kommen Varianten für Windows sowie eine ARM-Ausführung für Linux zum Einsatz. Darüber hinaus wurden Versionen für VMware-ESX-Umgebungen sowie eine ältere 32-Bit-PE-Datei beobachtet, was zeigt, dass die Schadsoftware sowohl klassische Endpunkte und Server als auch Virtualisierungs-Infrastruktur ins Visier nimmt. Charakteristisch für Babuk ist das Verfahren zur Schlüsselerzeugung: Zur Bildung der Verschlüsselungsschlüssel wird ein Verfahren auf Basis elliptischer Kurven (Montgomery-Algorithmus) genutzt. Diese plattformübergreifende Bauweise in Verbindung mit einem kryptografisch durchdachten Schlüsselverfahren macht Babuk zu einer flexibel einsetzbaren Verschlüsselungssoftware, die nicht auf ein einzelnes Betriebssystem beschränkt bleibt, sondern gezielt auch zentrale Server- und ESXi-Systeme verschlüsseln kann.

Taktiken & Vorgehen

Im Zuge ihrer Angriffe nutzt die Gruppe den Datei-Sharing-Dienst „File.io“, über den abgegriffene Daten von kompromittierten Systemen ausgeleitet werden können. Solche legitimen Cloud-Dienste eignen sich für die Datenexfiltration, weil der ausgehende Datenverkehr zu bekannten Hosting-Plattformen in vielen Umgebungen unauffällig wirkt und nicht ohne Weiteres als bösartig erkannt wird. Auf der Endpunktseite ist die Schadsoftware so ausgelegt, dass sie in mehreren plattformspezifischen Ausführungen — für Windows, ARM-Linux sowie VMware-ESX — verschlüsselnd wirkt und dabei zur Schlüsselbildung ein Verfahren auf Basis elliptischer Kurven (Montgomery-Algorithmus) einsetzt. Das Vorgehen verbindet damit die Auslagerung von Daten über einen externen Datei-Sharing-Dienst mit einer plattformübergreifend wirksamen Verschlüsselung der betroffenen Systeme.

Schutzmaßnahmen

Da zur Datenexfiltration der Datei-Sharing-Dienst „File.io“ eingesetzt wird, sollte der ausgehende Datenverkehr zu öffentlichen Datei-Sharing- und Cloud-Hosting-Diensten überwacht und nach Möglichkeit eingeschränkt oder blockiert werden. Über eine Filterung des ausgehenden Verkehrs sowie Lösungen zur Erkennung von Datenabflüssen sollten ungewöhnlich große oder unerwartete Übertragungen zu solchen externen Diensten erkannt werden. Verbindungen zu nicht benötigten externen Hosting-Plattformen sollten auf Netzwerkebene unterbunden werden, und Zugriffe auf derartige Dienste sollten protokolliert und ausgewertet werden, um eine laufende Datenausleitung frühzeitig festzustellen.