Nuevo Ransomware Rook basado en el código fuente de Babuk

Investigadores de SentinelLabs han realizado una extensa investigación sobre una nueva cepa de Ransomware denominada “Rook”, la cual tiene relación con el ransomware Babuk. Esta nueva operación llamó la atención de distintos investigadores cuando los actores publicaron en las redes que: “tenían una necesidad desesperada de ganar mucho dinero violando las redes corporativas”. Tiempo después, el 30 de noviembre de 2021, anunciaron a su primera víctima, una institución financiera de Kazkh, en su sitio de filtración.

Ransomware Rook

Rook fue visto inicialmente en VirusTotal el 26 de noviembre, y su primera víctima, una institución financiera kazaja, fue identificada el 30 de noviembre. Además de encriptar los archivos de la organización, la banda Rook robó aproximadamente 1 terabyte de datos para usarlos con fines de extorsión.

Ransomware Rook es un software malicioso que aprovecha las diversas filtraciones que se han generado del código del ransomware Babuk. Está dirigido a sistemas de 64 bits y afecta a los usuarios eliminando volúmenes de la máquina del usuario, cifrando archivos, exfiltrando documentos y filtrando información.

Las primeras variantes del ransomware Rook incluyen una extensión .Tower, mientras que todas las variantes actuales usan la extensión .Rook.

Cadena de infección

Al igual que muchas otras campañas de ransomware, Rook inicia el proceso de infección hacia sus víctimas con correos de phishing, pero también por medio de Cobalt Strike y descargas de torrents sospechosas como vector de infección inicial.

Las cargas útiles están empaquetadas con UPX u otros cripters para ayudar a evadir la detección. Cuando se ejecuta, el ransomware intenta terminar los procesos relacionados con las herramientas de seguridad o cualquier cosa que pueda romper el cifrado.

Rook también usa vssadmin.exe para eliminar las instantáneas de volumen, una táctica estándar utilizada por las operaciones de ransomware para evitar que los volúmenes de sombra se utilicen para recuperar archivos.

Investigadores de SentinelLabs no encontraron ningún mecanismo de persistencia, por lo que este malware efectuará las siguientes acciones:

• Primero cifrará los archivos y agregará la extensión ".Rook".
• Luego se eliminará a sí mismo del sistema comprometido.

Archivos cifrados por Rook /Fuente: SentinelLabs

Rook utilizando el código de Babuk

SentinelLabs ha encontrado numerosas similitudes de código entre Rook y Babuk, un RaaS desaparecido al que se filtró su código fuente completo en un foro de habla rusa en septiembre de 2021 ampliamente informado en “Código de fuente de ransomware Babuk publicado en foro ruso”.

Algunos de los ejemplos de estas similitudes que entregan los investigadores son:

• Rook usa las mismas llamadas a la API para recuperar el nombre y el estado de cada servicio en ejecución y las mismas funciones para terminarlos.
• La lista de procesos y servicios de Windows que están detenidos es la misma para ambos ransomware.
  • Esto incluye la plataforma de juegos Steam, el cliente de correo electrónico de Microsoft Office y Outlook, y Mozilla Firefox y Thunderbird.
• El cifrador elimina las instantáneas de volumen, usa la API del Administrador de reinicio de Windows y enumera las unidades locales.

Sitio web 

Este grupo al igual que la gran mayoría de sus pares mantiene su blog alojado en la red Tor. Al ingresar al sitio rápidamente se visualizan 3 organizaciones que han sido víctimas y que claramente no realizaron el pago exigido por los actores, sin embargo, mediante fuentes alternativas se ha logrado identificar que realmente han extorsionado un total de 6 víctimas de las cuales ninguna de ellas mantiene filiales en Chile.

Las compañías afectadas corresponden a diferentes rubros y países, por lo cual no se ha podido identificar una relación entre ellas. Esto último podría hacer presumir que realizan ataques de forma oportunista y no bajo algún esquema predefinido, sin embargo, todas las organizaciones víctimas son de gran envergadura.

Logo e información del ciberactor

Este ciberactor se ha adjudicado su primera víctima el día 30 de noviembre del 2021 y la última fue el 28 de diciembre del 2021, logrando un número considerable de afectados en tan solo un mes.

Entre los países afectados por este ciberactor se encuentran:

• Suiza
• Japón
• Dinamarca
• India
• Estados Unidos
• Kazajstán

Dentro de su sitio web, en la parte inicial, tienen publicado un mensaje donde se identifican como un grupo nuevo y con energía. Dentro de esta publicación piden que los medios los apoyen para hacerse públicos y recalcan que, si investigadores intervienen en sus negociaciones la clave de recuperación de las víctimas serán eliminadas, por ende, perderán la capacidad de recuperar sus archivos, los que luego se pondrán en venta .

Panorama

No es la primera vez que el código fuente de ransomware Babuk publicado ha dado pie para que diferentes actores de amenazas lo utilicen para copiar su modelo y potenciar herramientas de ransomware. Tal como lo señalamos en un anterior boletín de Babuk era cuestión de tiempo visualizar la proliferación de nuevos grupos de ransomware.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (Appdata, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.