Año nuevo, virus nuevo: Babuk Locker apunta a grandes corporaciones

Año nuevo, virus nuevo: Babuk Locker apunta a grandes corporaciones

Solo unos días después del año nuevo, se descubrió una de las primeras nuevas cepas de ransomware de 2021. Apodado Babuk Locker, el ransomware parece haber comprometido con éxito a cinco empresas hasta ahora al menos una ha acordado pagar un rescate de 85.000 dólares.

A pesar de ser una cepa de ransomware en su mayoría común y corriente, los mecanismos de cifrado de Babuk Locker y el abuso del Administrador de reinicio de Windows lo distinguen.

El autor de la investigación, Chuong Dong, un estudiante de informática en Georgia Tech, dijo que vio por primera vez el ransomware mencionado en un tweet  de un investigador de seguridad que se llama "Arkbird" en Twitter. Luego descubrió información sobre Babuk en RaidForums, que es un foro para compartir bases de datos de brechas y filtraciones.

Dong dijo que, según el sitio web incluido en la nota de rescate de Babuk, y según la información de las filtraciones de RaidForums, el ransomware ha comprometido con éxito a cinco empresas diferentes en todo el mundo. Según un informe de BleepingComputer , estas empresas víctimas van desde un fabricante de productos de pruebas médicas hasta una empresa de aire acondicionado y calefacción en los EE. UU., Y al menos una de las empresas ha acordado pagar un rescate de 85.000 dólares.

Si bien Babuk tiene algunas características distintivas que van desde lo poco sofisticado hasta lo común y corriente, también promociona trucos más novedosos, específicamente cuando se trata de cifrado y el abuso de funciones legítimas de Windows, dijo Dong.

"Babuk es un nuevo ransomware que comenzó a principios de este año", dijo Dong en un análisis esta semana . "A pesar de las prácticas de codificación de aficionados utilizadas, su sólido esquema de cifrado que utiliza el algoritmo Diffie-Hellman de curva elíptica ha demostrado ser eficaz para atacar a muchas empresas hasta ahora".

Características de Babuk

  • El ransomware, que viene en forma de archivo .EXE de 32 bits, carece notablemente de ofuscación. Tampoco está claro todavía cómo se propaga inicialmente el ransomware a las víctimas.

“Hasta ahora, no sabemos cómo entró el ransomware en la empresa, pero lo más probable es que sea un phishing similar a los enfoques de otros grupos de ransomware”, dijo Dong a Threatpost.

Después de la infección, Babuk contiene una lista codificada de servicios y procesos que deben cerrarse antes del cifrado. Estos incluyen varios servicios de monitoreo del sistema, incluidos BackupExecVSSProvider, YooBackup y BackupExecDiveciMediaService. En el lado de los procesos, Babuk busca eliminar 31 procesos, desde sql.exe hasta oracle.exe y outlook.exe.

"Cerrar aplicaciones es beneficioso porque esas aplicaciones pueden abrir archivos cuando se ejecuta el ransomware", explicó Dong a Threatpost. “Para cifrar archivos, debe poder abrirlos. Si otra aplicación ya hizo eso, el cifrado fallará ".

  • Babuk también intenta eliminar las instantáneas antes y después del cifrado. Las instantáneas existen en Microsoft Windows y se utilizan para crear copias de seguridad o instantáneas de varios archivos.

"Después de eliminar las instantáneas, Babuk comprueba si el sistema está funcionando con un procesador de 64 bits", según Dong. "Si es así, se llama a Wow64RevertWow64FsRedirection para habilitar la redirección del sistema de archivos nuevamente".

Método de cifrado

Es de destacar el mecanismo de cifrado de Babuk: utiliza su propia implementación de hash SHA, cifrado ChaCha8 y el algoritmo de generación e intercambio de claves Diffie-Hellman (ECDH) de curva elíptica para cifrar archivos en el ataque, lo que los hace casi imposibles de recuperar para las víctimas. .

"Debido al mecanismo de ECDH, el autor del ransomware puede generar el secreto compartido utilizando su propia clave privada y la clave pública de la víctima para descifrar archivos", dijo Dong. "Esto hace que sea imposible que la víctima descifre por su cuenta a menos que pueda capturar la clave privada generada aleatoriamente en el malware antes de que termine de cifrarse".

Babuk también utiliza subprocesos múltiples. Muchas computadoras contienen una o más CPU de varios núcleos, que se utilizan para permitir la ejecución paralela de procesos y una mejor utilización del sistema. El ransomware, como Babuk, se puede desarrollar para aprovechar este proceso de subprocesos múltiples con el fin de "paralelizar las tareas individuales para garantizar un impacto más rápido y, posteriormente, más dañino antes de que las víctimas descubran que están bajo ataque", han dicho los investigadores de Sophos .

Sin embargo, Dong dijo que el "enfoque del ransomware para el subproceso múltiple es bastante mediocre".

Por un lado, su proceso de subprocesos múltiples utiliza la recursividad para atravesar archivos, dijo. Este proceso comienza con un hilo en el directorio más alto (por ejemplo, unidad C: //), que, en la función de cifrado principal, pasará por cada elemento del directorio principal. Si encuentra un archivo, lo cifra. Si se encuentra un nuevo directorio, el proceso volverá a llamar a la función de cifrado principal con ese directorio como directorio padre para atravesar esa carpeta. Este proceso continúa para múltiples capas hasta que Babuk se ha rastreado a través de cada carpeta y archivo, explicó Dong.

“Este es el enfoque básico y de la vieja escuela para el ransomware, y generalmente lo utilizan personas que son nuevas en el desarrollo de malware”, dijo Dong a Threatpost. “La idea está bien, pero es una gran cantidad de trabajo considerando que un sistema normal tiene al menos 10,000 archivos”.

El proceso de subprocesos múltiples del ransomware también determina la cantidad de subprocesos a generar duplicando la cantidad de núcleos en la máquina de la víctima y luego asignando una matriz para almacenar todos los identificadores de subprocesos.

"Se puede crear potencialmente una gran cantidad de subprocesos para cada proceso", dijo Dong. "Sin embargo, en una situación ideal, es mejor tener un subproceso en ejecución por procesador para evitar que los subprocesos compitan entre sí por el tiempo y los recursos del procesador durante el cifrado".

En contraste, agregó Dong, el ransomware Conti ha utilizado un enfoque correcto para el subproceso múltiple, que genera un subproceso para cada núcleo de procesamiento.

“Su encriptación es increíblemente rápida, con menos de 30 segundos para encriptar la unidad C: //”, dijo.

Administrador de reinicio de Windows

Babuk también aprovecha la función legítima del Administrador de reinicio de Windows de Microsoft, que permite a los usuarios cerrar y reiniciar todas las aplicaciones y servicios (menos los críticos). El ransomware utiliza esta función para finalizar cualquier proceso que esté utilizando archivos, lo que, dijo Dong, garantiza que nada evitará que el malware abra y cifre los archivos.

Otras familias populares de ransomware han abusado previamente de Windows Restart Manager, incluido el ransomware Conti (como se vio en un ataque de julio de 2020 ) y el ransomware REvil (visto en una nueva versión de mayo de 2020 ).

Una vez que todos los archivos han sido encriptados, la nota de rescate de Babuk les dice a las víctimas que sus computadoras y servidores están encriptados, y exige que la víctima los contacte usando un navegador Tor.

Sin embargo, "si la víctima intenta pagar el rescate, debe cargar archivos en un chat para que los 'piratas informáticos' puedan asegurarse de que pueden descifrar los archivos", dijo Lamar Bailey, director senior de investigación de seguridad de Tripwire, en un correo electrónico. . “Espero que haya una tasa de fallas bastante alta. ¿Harán dinero? Absolutamente. Pero como sucede con muchas modas pasajeras, esto será cosa del pasado en unos meses y no generará mucho dinero a largo plazo. Hasta entonces, manténgase alejado de los archivos .exe de 32 bits ".

La nueva cepa de ransomware se produce a medida que los ataques de ransomware continúan aumentando , con un aumento del  número de ataques de ransomware   en un 350 por ciento desde 2018. Los sistemas de atención médica se han visto particularmente afectados durante el último año por los actores de ransomware, y un informe reciente dice que las organizaciones de atención médica han visto un aumento del 45 por ciento en ciberataques desde noviembre.

¿QUE TE PARECIÓ ESTA NOTICIA? DÉJANOS TU COMENTARIO!

No Comments

Post A Comment

× Contáctanos