Las dificultades técnicas asociadas con la creación de nuevas variantes de ransomware para atacar Linux y Unix, y los sistemas VMware ESXi, pueden haber obligado a la banda de ransomware Babuk a cambiar sus tácticas, según una nueva investigación del investigador de McAfee Thibault Seret y Noël Keijzer, un forense digital. y especialista en respuesta a incidentes en la firma de seguridad holandesa Northwave.
Babuk, un ransomware relativamente poco sofisticado pero aún muy peligroso, apareció por primera vez a principios de 2021, y las personas detrás de él persiguieron agresivamente una serie de objetivos de alto perfil.
En ese momento, el equipo de investigación de McAfee descubrió que los operadores de ransomware estaban experimentando escribiendo sus binarios en el lenguaje multiplataforma Golang, o Go, y cometiendo muchos errores en el proceso, un fenómeno también observado por BlackBerry.
Según Seret y Keijzer, los errores de codificación de la pandilla pueden haber regresado para perseguirlos. Escribieron: “Esto llevó a una situación en la que los archivos no se pudieron recuperar, incluso si se realizó el pago.
“El diseño y la codificación de la herramienta de descifrado están poco desarrollados, lo que significa que si las empresas deciden pagar el rescate, el proceso de decodificación de los archivos cifrados puede ser muy lento y no hay garantía de que todos los archivos sean recuperables”.
Luego, en abril de 2021, los operadores anunciaron que dejarían de cifrar los sistemas de sus víctimas y, en su lugar, se centrarían en exfiltrar y publicar datos de aquellos que no respondieron a sus intentos de extorsión, así como en alojar los datos de publicación para otros operadores de ransomware, en efecto, moviéndose. hacia un modelo de negocio de gestión de datos ilícitos.
Los investigadores ahora piensan que el daño que causó la pandilla al operar con ransomware técnicamente defectuoso estaba dañando su capacidad para obtener ganancias.
“En última instancia, las dificultades a las que se enfrentaron los desarrolladores de Babuk para crear el ransomware ESXi pueden haber llevado a un cambio en el modelo comercial, desde el cifrado hasta el robo de datos y la extorsión”, escribieron Seret y Keijzer.
En general, el descifrador de Babuk falló porque solo verificó la extensión de archivo .babyk, lo que significaba que omitió los archivos que la víctima podría haber cambiado de nombre para intentar recuperarlos, pero hubo una serie de otros problemas con él. En el informe completo de Seret y Keijzer se pueden leer más detalles de exactamente qué tan malo era el descifrador y los errores que se infiltraron.
Los usuarios de la tecnología de McAfee están protegidos de Babuk, pero otros deben estar atentos a una serie de tácticas, técnicas y procedimientos (TTP) que, en general, son similares a los utilizados por otros ransomware como servicio (RaaS) de la competencia. operaciones.
En particular, en el caso de Babuk, la pandilla ha tratado previamente de reclutar personas con habilidades de prueba de penetración, por lo que los equipos de seguridad deben estar atentos a cualquier actividad que se correlacione con herramientas de piratería de código abierto, como winPEAS, Bloodhound y SharpHound, y casi No hace falta decirlo: el marco Cobalt Strike.
El comportamiento engañoso de herramientas no maliciosas con un uso dual, como ADfind, PSExec y PowerShell, también puede sugerir que un afiliado de Babuk está husmeando.
Los vectores de entrada favorecidos por Babuk incluyen: correos electrónicos dirigidos de phishing selectivo; el aprovechamiento de las vulnerabilidades y exposiciones comunes (CVE) reveladas sin parches o de días cero en aplicaciones públicas; y el uso de cuentas válidas obtenidas a través del acceso al Protocolo de escritorio remoto (RDP) débilmente protegido.
El Centro Nacional de Seguridad Cibernética del Reino Unido ofrece más orientación sobre cómo bloquear dichos puntos de entrada y mitigar los ataques de ransomware.