يستخدم المهاجمون قذيفة الويب China Chopper لاختراق البرامج الضارة Babuk ransomware وتثبيتها في البداية.
كشف باحثو الأمن السيبراني في Cisco Talos عن حملة برمجيات خبيثة جديدة من مشغلي Babuk ransomware تستهدف ثغرات ProxyShell في خوادم Microsoft Exchange. يستخدم المهاجمون قذيفة الويب China Chopper لاختراق البرامج الضارة Babuk وتثبيتها في البداية.
تم إصلاح الثغرات الأمنية (CVE-2021-34473 و CVE-2021-34523 و CVE-2021-31207) في أبريل ومايو من هذا العام، وتم نشر التفاصيل الفنية في أغسطس. يمكن لمهاجم غير مصرح له استغلال المشكلات لتنفيذ تعليمات برمجية عشوائية. تتضمن سلسلة العدوى المستخدمة وحدة تفريغ وسيطة يتم تنزيلها من pastebin.pl (نسخة من pastebin.com) ثم فك تشفيرها في الذاكرة قبل فك تشفير الحمولة النهائية وتنفيذها.
اكتشفت Cisco Talos ثغرة EfsPotato معدلة تستهدف ثغرات ProxyShell و PetitPotam، والتي يتم استخدامها للاختراق الأولي.
بمجرد إطلاقه، يحاول Babuk ransomware إيقاف عدد من العمليات على الخادم المهاجم، وإيقاف حلول النسخ الاحتياطي، وكذلك حذف لقطات Volume Shadow Copy Service VSS. تقوم بعد ذلك بتشفير جميع الملفات الموجودة على الخادم، وإضافة ملحق ملف .babyk إليها، ونشر مذكرة فدية بقيمة 10000 دولار مقابل مفتاح فك التشفير.
كشف باحثو الأمن السيبراني في Cisco Talos عن حملة برمجيات خبيثة جديدة من مشغلي Babuk ransomware تستهدف ثغرات ProxyShell في خوادم Microsoft Exchange. يستخدم المهاجمون قذيفة الويب China Chopper لاختراق البرامج الضارة Babuk وتثبيتها في البداية.
تم إصلاح الثغرات الأمنية (CVE-2021-34473 و CVE-2021-34523 و CVE-2021-31207) في أبريل ومايو من هذا العام، وتم نشر التفاصيل الفنية في أغسطس. يمكن لمهاجم غير مصرح له استغلال المشكلات لتنفيذ تعليمات برمجية عشوائية. تتضمن سلسلة العدوى المستخدمة وحدة تفريغ وسيطة يتم تنزيلها من pastebin.pl (نسخة من pastebin.com) ثم فك تشفيرها في الذاكرة قبل فك تشفير الحمولة النهائية وتنفيذها.
اكتشفت Cisco Talos ثغرة EfsPotato معدلة تستهدف ثغرات ProxyShell و PetitPotam، والتي يتم استخدامها للاختراق الأولي.
بمجرد إطلاقه، يحاول Babuk ransomware إيقاف عدد من العمليات على الخادم المهاجم، وإيقاف حلول النسخ الاحتياطي، وكذلك حذف لقطات Volume Shadow Copy Service VSS. تقوم بعد ذلك بتشفير جميع الملفات الموجودة على الخادم، وإضافة ملحق ملف .babyk إليها، ونشر مذكرة فدية بقيمة 10000 دولار مقابل مفتاح فك التشفير.
