Babuk ransomware | Weblogs de McAfee


Resumen ejecutivo

Babuk ransomware es una nueva amenaza de ransomware descubierta en 2021 que ha afectado al menos a cinco grandes empresas, y una de ellas ya les paga a los delincuentes 85.000 dólares después de las negociaciones. Al igual que con otras variantes, este ransomware se implementa en la red de empresas a las que los delincuentes atacan y comprometen cuidadosamente. Con MVISION Insights, McAfee pudo trazar la telemetría de los objetivos, revelando que el grupo actualmente se dirige a los sectores del transporte, la atención médica, el plástico, la electrónica y la agricultura en múltiples geografías.

Figura 1. Mapa de infecciones (fuente: MVISION Insights)

Asesoramiento sobre cobertura y protección

La solución EPP de McAfee cubre el ransomware Babuk con una variedad de técnicas de prevención y detección.

ENS ATP proporciona contenido de comportamiento que se centra en la detección proactiva de la amenaza y, al mismo tiempo, ofrece IoC conocidos para detecciones en línea y fuera de línea. Para las detecciones basadas en DAT, la familia se informará como Ransom-Babuk!. ENS ATP agrega 2 capas adicionales de protección gracias a las reglas de JTI que brindan reducción de la superficie de ataque para comportamientos de ransomware genéricos y RealProtect (estático y dinámico) con modelos de ML dirigidos a amenazas de ransomware.

Las actualizaciones de los indicadores se envían a través de GTI, y los clientes de Insights encontrarán un perfil de amenaza en esta familia de ransomware que se actualiza cuando haya información nueva y relevante disponible.

Inicialmente, en nuestra investigación, el vector de entrada y las tácticas, técnicas y procedimientos (TTP) completos utilizados por los criminales detrás de Babuk no estaban claros.

Sin embargo, cuando su anuncio de reclutamiento de afiliados se publicó en línea, y dado el lugar de reunión clandestino específico donde publica Babuk, los defensores pueden esperar TTP similares con Babuk como con otras familias de Ransomware-as-a-Support.

En su publicación de reclutamiento, Babuk solicita específicamente a personas con habilidades pentest, por lo que los defensores deben estar atentos a los rastros y comportamientos que se correlacionen con herramientas de prueba de penetración de código abierto como winPEAS, Bloodhound y SharpHound, o marcos de piratería como CobaltStrike, Metasploit, Empire o Pacto. También esté atento al comportamiento anormal de herramientas no maliciosas que tienen un uso dual, como las que se pueden usar para cosas como enumeración y ejecución (por ejemplo, ADfind, PSExec, PowerShell, and many others.). Aconsejamos a todos que lean nuestros weblogs sobre indicadores de evidencia para un ataque de ransomware dirigido (Parte 1, Parte 2).

Al observar otras familias similares de ransomware como servicio, hemos visto que ciertos vectores de entrada son bastante comunes entre los delincuentes de ransomware:

  • E-mail Spearphishing (T1566.001). El correo electrónico de phishing inicial, que a menudo se united states para participar directamente y / o ganar un punto de apoyo inicial, también se puede vincular a una cepa de malware diferente, que actúa como cargador y punto de entrada para que las bandas de ransomware continúen comprometiendo por completo la pink de la víctima. Hemos observado esto en el pasado con Trickbot y Ryuk, Emotet y Prolock, etcetera.
  • Exploit General public-Going through Software (T1190) es otro vector de entrada común Los ciberdelincuentes son consumidores ávidos de noticias sobre seguridad y siempre están buscando un buen exploit. Por lo tanto, alentamos a las organizaciones a que sean rápidas y diligentes cuando se trata de aplicar parches. En el pasado, existen numerosos ejemplos en los que las vulnerabilidades relativas al software package de acceso remoto, servidores net, equipos de borde de red y firewalls se han utilizado como punto de entrada.
  • El uso de cuentas válidas (T1078) es y ha sido un método probado para que los ciberdelincuentes se establezcan. Después de todo, ¿por qué romper la puerta si tienes las llaves? El acceso al Protocolo de escritorio remoto (RDP) débilmente protegido es un excelente ejemplo de este método de entrada. Para obtener los mejores consejos sobre seguridad RDP, nos gustaría destacar nuestro site que explica la seguridad RDP.
  • Las cuentas válidas también se pueden obtener a través de malware de productos básicos, como los robadores de información, que están diseñados para robar credenciales de la computadora de la víctima. Los delincuentes de ransomware compran registros de infostealer que contienen miles de credenciales para buscar VPN e inicios de sesión corporativos. Como organización, una sólida gestión de credenciales y autenticación multifactor en las cuentas de usuario es una necesidad absoluta.

Cuando se trata del binario de ransomware genuine, recomendamos encarecidamente actualizar y actualizar la protección de su endpoint, así como habilitar opciones como la protección contra manipulaciones y la reversión. Lea nuestro weblog sobre cómo configurar mejor ENS 10.7 para protegerse contra ransomware para obtener más detalles.

Resumen de la amenaza

  • Babuk ransomware es una nueva familia de ransomware detectada originalmente a principios de 2021.
  • Sus operadores adoptaron los mismos métodos operativos que otras familias de ransomware y filtraron los datos robados en un sitio internet público: hxxp: //gtmx56k4hutn3ikv.onion/.
  • El código base y los artefactos de Babuk son muy similares a los de Vasa Locker.
  • Babuk se anuncia en foros de habla inglesa y rusa, donde parece que el primero se utiliza para anuncios y el segundo se centra en el reclutamiento de afiliados y las actualizaciones de ransomware.
  • Las personas detrás del ransomware Babuk se han expresado explícitamente de forma negativa contra las comunidades BlackLivesMatter (BLM) y LGBT.
  • Al menos 5 empresas han sido violadas hasta el 15 de enero de 2021.
  • El ransomware admite la operación de línea de comandos e incorpora tres comandos integrados diferentes que se utilizan para propagarse y cifrar los recursos de la purple.
  • Comprueba los servicios y procesos en ejecución para poder eliminar una lista predefinida y evitar la detección.
  • No hay controles de idioma regional, a diferencia de otras bandas de ransomware que normalmente ahorran dispositivos en ciertos países.
  • La variante más reciente se ha visto empaquetada.

Obtenga más información sobre el funcionamiento interno de Babuk, la actividad del foro clandestino, las reglas de Yara, los indicadores de compromiso y las técnicas de Mitre ATT y CK utilizadas leyendo nuestro análisis técnico detallado. https://www.mcafee.com/company/en-us/belongings/experiences/rp-babuk-ransomware.pdf

Babuk ransomware

Obtenga más información sobre el funcionamiento interno de Babuk, la actividad del foro clandestino, las reglas de Yara, los indicadores de compromiso y las técnicas de Mitre ATT y CK utilizadas.
Ver ahora





Enlace a la noticia original