Schon Anfang dieses Jahres zeigte eine McAfee-Studie über Babuk, dass die Gruppe die Branchen Transportwesen, Gesundheitswesen, Kunststoffindustrie, Elektronik und Landwirtschaft in verschiedenen Regionen ins Visier nahm. Die jüngsten Untersuchungen zeigen jetzt, dass Babuks Mitglieder aggressiver vorgehen und hochrangige Opfer infizieren. Hinzu kommt: Dateien können auch dann nicht mehr abgerufen werden, wenn eine Zahlung erfolgt ist.
Kürzlich kündigte Babuk in einem Untergrundforum an, dass die Gruppe eine plattformübergreifende Binärdatei entwickelt, die auf Linux/UNIX- und ESXi- oder VMware-Systeme abzielt. Viele zentrale Backend-Systeme in Unternehmen laufen auf diesen *nix-Betriebssystemen oder, im Falle der Virtualisierung, auf dem ESXi, das mehrere Server oder die virtuelle Desktop-Umgebung hostet.
Die wichtigsten Ergebnisse der Analyse:
- Prozess: Die Analyse von McAfee Enterprise zeigt, dass Babuk bei der Entwicklung seiner Golang-Binärdateien und der Entschlüsselungsprogramme Live-Beta-Tests an seinen Opfern durchgeführt hat. Das ATR-Forschungsteam hat festgestellt, dass die Rechner mehrerer Opfer aufgrund eines fehlerhaften Binärprogramms oder eines fehlerhaften Entschlüsselungsprogramms nicht mehr zu reparieren waren.
- Defekte: Die jüngsten Ergebnisse zeigen auch, dass der Decryptor insgesamt mangelhaft ist, da er nur nach der Erweiterung ".babyk" sucht. Alle Dateien, die das Opfer möglicherweise umbenannt hat, um sie wiederherzustellen, werden dadurch übersehen.
- Auswirkungen: Das Design und die Kodierung des Entschlüsselungstools sind schlecht entwickelt. Das bedeutet für Unternehmen, die sich entscheiden Lösegeld zu zahlen, dass der Entschlüsselungsprozess für verschlüsselte Dateien sehr langsam sein kann. Hinzu kommt, dass es keine Garantie gibt, dass alle Dateien wiederhergestellt werden können.
Eine Zusammenfassung der Ergebnisse finden Sie in diesem Blogbeitrag von McAfee Enterprise. Weitergehende technische Informationen und Details erhalten Sie hier.
Sehr gerne vermitteln wir Ihnen darüber hinaus ein Gespräch mit einem Experten von McAfee Enterprise, um die Ergebnisse zu diskutieren und darüber zu sprechen, wie Unternehmen das Risiko angesichts der Zunahme von Ransomware-Gruppen am besten minimieren können.
McAfee Enterprise bietet Cyber-Sicherheitslösungen für Unternehmen. Mit seinem erstklassigen Lösungsportfolio bedient McAfee Enterprise die sich verändernden Sicherheitsbedürfnisse von Unternehmenskunden, damit die Anforderungen moderner Organisationen, Unternehmen und Regierungen auf der ganzen Welt erfüllt werden können. Weitere Informationen finden Sie unter https://www.mcafee.com/enterprise/de-de/home.html
McAfee GmbH
Ohmstr. 1
85716 Unterschleißheim
Telefon: +49 (89) 3707-0
Telefax: +49 (89) 3707-1199
http://www.mcafee.de
Hotwire für McAfee Enterprise
E-Mail: julia.bastos@hotwireglobal.com