Código de fuente de ransomware Babuk publicado en foro ruso

06 Septiembre 2021
Alto

Nuevamente sale a la luz el código de fuente de ransomware Babuk, esta vez fue publicado en un foro de hackers de habla rusa. Según el mismo foro, el código estaría completo y se puede conseguir dentro de él el descifrador universal del ransomware.

Ransomware Babuk

Babuk, quien tuvo sus primeras apariciones a principios de 2021, destacándose por atacar a la fuerza policial de Washington DC, tal como lo mencionamos en nuestro boletin: “Nuevo ransomware Babuk evidenciado en panorama de amenazas 2021”, se ha mantenido activo y ha continuado con sus operaciones. 

En julio de este año se publicó en virus total su código de fuente, el cual dio paso al cambió del nombre de su sitio de filtración como "Payload.bin" y la notificación de un nuevo método a utilizar que consistía en dejar de cifrar la información de los sistemas afectados, y en su lugar se centran en obtener los datos confidenciales para llevar a cabo un modelo de extorsión basado en los datos robados y no en el cifrado de los mismos. Esto también fue abordado en el boletín: “Panorama de Ransomware Segundo trimestre 2021”.

Según lo evidenciado, sus últimas operaciones datan de julio de 2021, en las cuales los mismos actores de amenaza detallan en su blog el uso de Babuk 2.0 para dichos ataques.

Filtración del código de fuente de Babuk

Recientemente se ha evidenciado en un foro de hackers de habla rusa, una publicación proveniente de un presunto miembro del grupo Babuk, el que sería el responsable de la filtración del código fuente del ransomware.

Publicación en foro sobre filtración de código de Babuk

De los documentos expuestos en el foro de hackers, se ha identificado el código fuente completo de la herramienta de cifrado y descifrado, que contiene un generador de claves públicas y privadas, además de diferentes proyectos de ransomware para Windows, VMware ESXI y NAS.

Según información proporcionada por investigadores, se confirmó la efectividad del Decryptor publicado, que sumado a la información de nota de rescate de los ciberactores, se puede determinar que este corresponde a una herramienta universal para todas las víctimas.

Nota de rescate de Babuk

Asimismo, debido a que en la filtración se encuentra también disponible el código de cifrado, esto permite que diferentes ciberactores hagan uso de esta herramienta para llevar a cabo nuevas operaciones y ataques dirigidos a diferentes entidades en el mundo sin exponer su verdadero nombre organizacional.

Panorama

Tal como se comentó anteriormente, no es primera vez que el código de fuente de ransomware Babuk ha sido publicado. Dado esto, es posible que diferentes actores de amenazas lo utilicen para copiar su modelo y potenciar herramientas de ransomware. Asimismo, el descifrador dentro del código permitirá a algunas víctimas recuperar sus datos.

Es cuestión de tiempo identificar si esta filtración provocará cambios en las capacidades de operación y reestructuración de Babuk para confirmar si sus operaciones continúan vigentes o si esta liberación interrumpe definitivamente sus operaciones.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Babuk #Ransomware #Código #Descifrador


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.