2021 comienza con nuevo ransomware. Locker llamado Babuk, el ransomware fue descubierto por el investigador Chuong Dong. El ransomware ha atacado a un pequeño número de víctimas empresariales.. El rescate exigido por los criminales de Babuk Locker varía entre $60,000 y $85,000 en Bitcoin.
"Dado que esta es la primera detección de este malware en la naturaleza, no es sorprendente que Babuk no esté oculto en absoluto,"Dice Dong en su informe. El investigador también describe el ransomware como "estándar,”Utilizando algunas técnicas nuevas, como el cifrado de subprocesos múltiples y la explotación del Administrador de reinicio de Windows como el revil y Conti pandillas.
Cifrado de casilleros Babuk
Según el análisis de ingeniería inversa de Dong, el ransomware utiliza su propia implementación de hash SHA256 combinado con el cifrado ChaCha8, Curva elíptica Diffie-Hellman (ECDH) algoritmo de generación e intercambio de claves. El propósito de este esquema de cifrado es proteger las claves del ransomware y cifrar los archivos.. "A pesar de las prácticas de codificación de aficionados utilizadas, su potente esquema de cifrado que utiliza el algoritmo Diffie-Hellman de curva elíptica ha demostrado ser eficaz para atacar a muchas empresas hasta ahora," añade el investigador.
El ransomware está dirigido a grandes corporaciones en lugar de usuarios individuales..
Babuk también puede difundir su cifrado enumerando los recursos de red disponibles, también visto en otros ataques de ransomware. Cabe destacar que los autores de amenazas utilizan una clave privada para cada muestra de Babuk, lo que significa que se dirigen principalmente a grandes corporaciones.
"Hasta aquí, de acuerdo con el sitio web incrustado en la nota de rescate, así como las filtraciones en Raidforums, han comprometido con éxito al grupo BOCA, Spiratex, y Mecol,"El informe señala.
Detalles técnicos de Babuk Ransomware
Tras el cifrado, el ransomware utiliza una extensión codificada que se adjunta a cada archivo cifrado. La extensión actual es .__ NIST_K571__, como se ve en las víctimas actuales. La nota de rescate se llama "Cómo restaurar sus archivos.txt" y se crea en cada carpeta del sistema comprometido. Típicamente, el contenido de la nota de rescate señala a las víctimas a un sitio de Tor donde se negocia un rescate.
Dong considera poco profesional que los ciberdelincuentes no hayan eliminado su registro de chat con una de las empresas afectadas.. La empresa victimizada es un fabricante italiano de sillas de auto., cinturon de seguridad, productos de automovilismo, y cinturones de seguridad para militares, aviación, y aplicaciones aeroespaciales.
Otros investigadores informan que los operadores de Babuk Locker están filtrando datos robados de sus víctimas a un foro de piratas informáticos.. Una de las empresas atacadas ha pagado un rescate por la cantidad de $85,000.
Estaremos atentos al desarrollo de esta nueva campaña de ransomware. Ojalá, se terminará antes de que dañe a más empresas.
Un informe de septiembre, 2019 reveló el vulnerabilidades que los operadores de ransomware utilizan principalmente en ataques contra organizaciones. 35% de las fallas desplegadas en los ataques eran antiguas, de 2015 o antes, como las vulnerabilidades de WannaCry.