В открытом доступе появился билдер малвари Babuk Locker, при помощи которого собственного шифровальщика сконструировать может любой желающий, сообщил в Twitter известный ИБ-эксперт Кевин Бомонт. Малварь уже загружена на VirusTotal.
It generates the decrypters for each platform too, including VMware ESXi etc.
Hopefully this can be used to drive research on detection and decryption.— Kevin Beaumont (@GossiTheDog) June 27, 2021
Издание The Record, уже изучившее эту утечку, сообщает, что билдер Babuk Locker может использоваться для создания кастомных версий вымогателя и применяться для шифрования файлов в Windows-системах, NAS на базе ARM, серверах VMWare ESXi.
Конструктор также создает для каждого шифровальщика собственный дешифратор, который можно использовать для восстановления зашифрованных файлов каждой жертвы.
Утечка произошла через два месяца после того, как операторы Babuk Locker объявили о прекращении работы (после громкой атаки на полицейское управление Вашингтона). Считается, что хакеры переименовали свой «сайт утечек» в Payload.bin, и теперь группировка предоставляет его другим преступникам как сторонний хостинг, где можно слить чьи-то файлы, не заводя для этих целей собственный сайт.
Пока неясно, пытались ли авторы Babuk Locker продать свой билдер третьей стороне (и тот попал в сеть в результате неудачной сделки), или же утечку устроил кто-то из конкурентов группы или ИБ-экспертов.
«Надеюсь, эту [утечку] можно будет использовать для проведения исследований по обнаружению и расшифровке», — пишет Бомонт.
