Nuevo ransomware Babuk evidenciado en panorama de amenazas 2021

Nuevo año, nuevo ransomware. Como habíamos previsto, en continuación de un 2020 lleno de ransomware en el panorama de amenazas, la aparición de nuevas variantes no demoró y en enero de 2021 hizo sus primeras apariciones Babuk. De esto dan cuenta Investigadores de McAfee informando que, a pesar de algunas deficiencias claras, el malware Babuk de rápida aparición se está convirtiendo en una seria amenaza dirigida a objetivos cuidadosamente seleccionados, que incluyen atención médica, fabricación y logística que ya están generando miles de dólares en pagos de rescate.

Ransomware Babuk

En enero de 2021 hizo sus primeras apariciones Ransomware Babuk. La nueva familia de ransomware ya tiene en su historial de ataque a 5 grandes empresas de sectores del transporte, electrónica, agricultura y atención médica con TTP que aluden a comportamientos de Ransomware-as-a-Service.

En una amplia investigación realizada por investigadores de McAfee logran detallar, entre otras cosas, el gran parecido de sus códigos con los de Vasa Locker.

Modus Operandi

Babuk sigue los pasos de grandes familias de ransomware utilizando el método de filtración de datos robados previamente para su próxima publicación en sitios web públicos como es el caso de .onion, donde se comunica con las víctimas que ya les han entregado más de 85.000 dólares.

El acceso inicial que utiliza esta variante de ransomware involucra cuentas de usuarios comprometidas, explotación de vulnerabilidades en las redes empresariales y el siempre confiable malspam para engañar a los colaboradores.

Una vez dentro, comienzan los movimientos laterales para analizar en detalle el inventario de la red y todos los archivos potencialmente importantes que próximamente se filtraran.  Terminando por implementar la carga útil del ransomware.

En la investigación entregada por McAfee detalla el cifrado de flujo que utiliza Babuk, el cual utiliza ChaCha8 para su cifrado y Diffie-Hellman de curva elíptica (ECDH) para la generación de claves, lo que hace que la recuperación de archivos sin obtener acceso a la clave privada sea muy poco probable.

Al cifrar los archivos, Babuk Locker utilizará una extensión codificada y la agregará a cada archivo cifrado la extensión codificada utilizada para todas las víctimas que hasta ahora es “.__ NIST_K571__”

En información más detallada sobre cómo opera Babuk se puede establecer que utilizan los siguientes vectores de entrada: 

• Phishing de correo electrónico donde el correo electrónico inicial está vinculado a una cepa de malware diferente (Trickbot o, hasta hace poco, Emotet , como ejemplos) que actúa como cargador.
• Explotar las vulnerabilidades y exposiciones comunes (CVE) divulgadas públicamente pero no parcheadas, particularmente en software de acceso remoto, servidores web, hardware de borde de red y firewalls.
• Irrumpir en el uso de cuentas válidas, a menudo a través de un acceso de protocolo de escritorio remoto (RDP) débilmente protegido con credenciales obtenidas a través de distribuidores de información de productos básicos, por ejemplo.

Los investigadores advirtieron que, en su publicación de reclutamiento, Babuk solicita específicamente personas con habilidades de prueba de penetración.

Nota de rescate evidenciada.

Serco afirma el ataque de ransomware Babuk

La empresa de subcontratación se vio afectada por el ransomware, pero insiste en que la mayoría de sus operaciones se están ejecutando con normalidad.

“El negocio de Serco en Europa continental ha sido objeto de un ciberataque”, dijo un representante de Serco. “El ataque se limitó a nuestro negocio en Europa continental, que representa menos del 3% de nuestro negocio global. No ha afectado a nuestros otros negocios u operaciones ".

Se conocen 4 víctimas más de Babuk Locker:      

• Württemberger Medien GmbH & Co. KG
• Alentec & Orion AB
• BOCA Group
• Human Biochemica und Diagnostica GmbH

Panorama

Como muchos actores nuevos en el mundo del ransomware, el actor detrás del ransomware Babuk ha estado aprendiendo en el trabajo mientras extraía información de otros grupos criminales. Su código ha contenido errores que le impidieron ejecutarse por completo en algunos entornos. Es probable que a medida que genere más dinero pueda destinar recursos a nuevas capacidades, aumentando así su sofisticación, pasando de ser una amenaza de nivel moderada a importante.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.