Investigadores de SentinelLabs han realizado una extensa investigación sobre una nueva cepa de Ransomware denominada “Rook”, la cual tiene relación con el ransomware Babuk. Esta nueva operación llamó la atención de distintos investigadores cuando los actores publicaron en las redes que: “tenían una necesidad desesperada de ganar mucho dinero violando las redes corporativas”. Tiempo después, el 30 de noviembre de 2021, anunciaron a su primera víctima, una institución financiera de Kazkh, en su sitio de filtración.
Ransomware Rook
Rook fue visto inicialmente en VirusTotal el 26 de noviembre, y su primera víctima, una institución financiera kazaja, fue identificada el 30 de noviembre. Además de encriptar los archivos de la organización, la banda Rook robó aproximadamente 1 terabyte de datos para usarlos con fines de extorsión.
Ransomware Rook es un software malicioso que aprovecha las diversas filtraciones que se han generado del código del ransomware Babuk. Está dirigido a sistemas de 64 bits y afecta a los usuarios eliminando volúmenes de la máquina del usuario, cifrando archivos, exfiltrando documentos y filtrando información.
Las primeras variantes del ransomware Rook incluyen una extensión .Tower, mientras que todas las variantes actuales usan la extensión .Rook.
Cadena de infección
Al igual que muchas otras campañas de ransomware, Rook inicia el proceso de infección hacia sus víctimas con correos de phishing, pero también por medio de Cobalt Strike y descargas de torrents sospechosas como vector de infección inicial.
Las cargas útiles están empaquetadas con UPX u otros cripters para ayudar a evadir la detección. Cuando se ejecuta, el ransomware intenta terminar los procesos relacionados con las herramientas de seguridad o cualquier cosa que pueda romper el cifrado.
Rook también usa vssadmin.exe para eliminar las instantáneas de volumen, una táctica estándar utilizada por las operaciones de ransomware para evitar que los volúmenes de sombra se utilicen para recuperar archivos.
Investigadores de SentinelLabs no encontraron ningún mecanismo de persistencia, por lo que este malware efectuará las siguientes acciones:
Archivos cifrados por Rook /Fuente: SentinelLabs
Rook utilizando el código de Babuk
SentinelLabs ha encontrado numerosas similitudes de código entre Rook y Babuk, un RaaS desaparecido al que se filtró su código fuente completo en un foro de habla rusa en septiembre de 2021 ampliamente informado en “Código de fuente de ransomware Babuk publicado en foro ruso”.
Algunos de los ejemplos de estas similitudes que entregan los investigadores son:
Sitio web
Este grupo al igual que la gran mayoría de sus pares mantiene su blog alojado en la red Tor. Al ingresar al sitio rápidamente se visualizan 3 organizaciones que han sido víctimas y que claramente no realizaron el pago exigido por los actores, sin embargo, mediante fuentes alternativas se ha logrado identificar que realmente han extorsionado un total de 6 víctimas de las cuales ninguna de ellas mantiene filiales en Chile.
Las compañías afectadas corresponden a diferentes rubros y países, por lo cual no se ha podido identificar una relación entre ellas. Esto último podría hacer presumir que realizan ataques de forma oportunista y no bajo algún esquema predefinido, sin embargo, todas las organizaciones víctimas son de gran envergadura.
Logo e información del ciberactor
Este ciberactor se ha adjudicado su primera víctima el día 30 de noviembre del 2021 y la última fue el 28 de diciembre del 2021, logrando un número considerable de afectados en tan solo un mes.
Entre los países afectados por este ciberactor se encuentran:
Dentro de su sitio web, en la parte inicial, tienen publicado un mensaje donde se identifican como un grupo nuevo y con energía. Dentro de esta publicación piden que los medios los apoyen para hacerse públicos y recalcan que, si investigadores intervienen en sus negociaciones la clave de recuperación de las víctimas serán eliminadas, por ende, perderán la capacidad de recuperar sus archivos, los que luego se pondrán en venta .
Panorama
No es la primera vez que el código fuente de ransomware Babuk publicado ha dado pie para que diferentes actores de amenazas lo utilicen para copiar su modelo y potenciar herramientas de ransomware. Tal como lo señalamos en un anterior boletín de Babuk era cuestión de tiempo visualizar la proliferación de nuevos grupos de ransomware.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
hash | f87be226e26e873275bde549539... |
hash | b14ec2fcccac5059464e800edf5... |
hash | 925e2f58599cfb91a03f5169866... |
hash | 96f7df1c984c1753289600f7f37... |
hash | c2d46d256b8f9490c9599eea11e... |
hash | e8a3208f506f06dc3b3dfb9a30f... |
hash | 15a67f118c982ff7d094d7290b4... |
rook@onionmail.org | |
securityRook@onionmail.org |