Babuk: ¿Mordiendo más de lo que podrían masticar con el objetivo de cifrar VM y sistemas * nix?


Coescrito con NorthwaveNoël Keijzer.

Resumen ejecutivo

Durante mucho tiempo, las bandas de ransomware se centraron principalmente en los sistemas operativos Microsoft Home windows. Sí, observamos el ransomware ocasional dedicado basado en Unix o Linux, pero el ransomware multiplataforma todavía no estaba sucediendo. Sin embargo, los ciberdelincuentes nunca duermen y en los últimos meses notamos que varias bandas de ransomware estaban experimentando escribiendo sus binarios en el lenguaje multiplataforma Golang (Go).

Nuestros peores temores se confirmaron cuando Babuk anunció en un foro clandestino que estaba desarrollando un binario multiplataforma destinado a sistemas Linux / UNIX y ESXi o VMware. Muchos sistemas centrales de back again-end de las empresas se ejecutan en estos sistemas operativos * nix o, en el caso de la virtualización, piense en el ESXi que aloja varios servidores o el entorno de escritorio digital.

Hablamos de esto brevemente en nuestro blog site anterior, junto con los muchos errores de codificación que está cometiendo el equipo de Babuk.

Aunque Babuk es relativamente nuevo en la escena, sus afiliados han estado infectando agresivamente a víctimas de alto perfil, a pesar de los numerosos problemas con el binario que llevaron a una situación en la que los archivos no se pudieron recuperar, incluso si se realizó el pago.

En última instancia, las dificultades que enfrentaron los desarrolladores de Babuk para crear el ransomware ESXi pueden haber llevado a un cambio en el modelo comercial, desde el cifrado hasta el robo de datos y la extorsión.

De hecho, el diseño y la codificación de la herramienta de descifrado están poco desarrollados, lo que significa que si las empresas deciden pagar el rescate, el proceso de decodificación de los archivos cifrados puede ser muy lento y no hay garantía de que todos los archivos sean recuperables.

Asesoramiento sobre cobertura y protección

La solución EPP de McAfee cubre Babuk ransomware con una variedad de técnicas de prevención y detección.

McAfee ENS ATP proporciona contenido de comportamiento que se centra en la detección proactiva de la amenaza y, al mismo tiempo, ofrece IoC conocidos para detecciones tanto en línea como fuera de línea. Para las detecciones basadas en DAT, la familia se informará como Rescate-Babuk!. ENS ATP agrega 2 capas adicionales de protección gracias a las reglas de JTI que brindan reducción de la superficie de ataque para comportamientos de ransomware genéricos y RealProtect (estático y dinámico) con modelos de ML dirigidos a amenazas de ransomware.

Las actualizaciones de los indicadores se envían a través de GTI, y los clientes de Insights encontrarán un perfil de amenaza en esta familia de ransomware que se actualiza cuando haya información nueva y relevante disponible.

Inicialmente, en nuestra investigación, el vector de entrada y las tácticas, técnicas y procedimientos completos (TTP) utilizados por los delincuentes detrás Babuk permaneció confuso.

Sin embargo, cuando su anuncio de reclutamiento de afiliados se publicó en línea, y dado el lugar de reunión clandestino específico donde Babuk publicaciones, los defensores pueden esperar TTP similares con Babuk como ocurre con otras familias de ransomware como servicio.

En su puesto de contratación Babuk pide específicamente a personas con habilidades de pentest, por lo que los defensores deben estar atentos a los rastros y comportamientos que se correlacionen con herramientas de prueba de penetración de código abierto como winPEAS, Bloodhound y SharpHound, o marcos de piratería como CobaltStrike, Metasploit, Empire o Covenant. También esté atento al comportamiento anormal de herramientas no maliciosas que tienen un uso twin, como las que se pueden usar para cosas como enumeración y ejecución (por ejemplo, ADfind, PSExec, PowerShell, etc.). Aconsejamos a todos que lean. nuestros weblogs sobre indicadores de evidencia para un ataque de ransomware dirigido (Parte 1, Parte 2).

Al observar otras familias similares de ransomware como servicio, hemos visto que ciertos vectores de entrada son bastante comunes entre los delincuentes de ransomware:

  • Correo electrónico Spearphishing (T1566.001). El correo electrónico de phishing inicial, que a menudo se utiliza para participar directamente y / o ganar terreno, también se puede vincular a una cepa de malware diferente, que actúa como cargador y punto de entrada para que las bandas de ransomware continúen comprometiendo por completo la purple de la víctima. Hemos observado esto en el pasado con Trickbot y Ryuk, Emotet y Prolock, etcetera.
  • Exploit General public-Dealing with Software (T1190) es otro vector de entrada común Los ciberdelincuentes son ávidos consumidores de noticias de seguridad y siempre están buscando un buen exploit. Por lo tanto, alentamos a las organizaciones a que sean rápidas y diligentes cuando se trata de aplicar parches. En el pasado, existen numerosos ejemplos en los que las vulnerabilidades relativas al software de acceso remoto, los servidores world-wide-web, los equipos de borde de la purple y los cortafuegos se han utilizado como punto de entrada.
  • El uso de cuentas válidas (T1078) es y ha sido un método probado para que los ciberdelincuentes se afiancen. Después de todo, ¿por qué romper la puerta si tienes las llaves? El acceso al Protocolo de escritorio remoto (RDP) débilmente protegido es un excelente ejemplo de este método de entrada. Para obtener los mejores consejos sobre seguridad RDP, nos gustaría destacar nuestro website que explica la seguridad RDP.
  • Las cuentas válidas también se pueden obtener a través de malware de productos básicos, como los robadores de información, que están diseñados para robar credenciales de la computadora de la víctima. Los delincuentes de ransomware compran registros de infostealer que contienen miles de credenciales para buscar VPN e inicios de sesión corporativos. Como organización, una sólida gestión de credenciales y autenticación de múltiples factores en las cuentas de usuario es una necesidad absoluta.

Cuando se trata del binario de ransomware serious, recomendamos encarecidamente actualizar y actualizar la protección de su endpoint, así como habilitar opciones como la protección contra manipulaciones y la reversión. Lea nuestro weblog sobre cómo configurar mejor ENS 10.7 para protegerse contra ransomware para obtener más detalles.

Resumen de la amenaza

  • Un reciente anuncio en un foro indica que los operadores de Babuk ahora apuntan expresamente a los sistemas Linux / UNIX, así como a los sistemas ESXi y VMware.
  • Babuk está plagado de errores de codificación, lo que hace que la recuperación de datos sea imposible para algunas víctimas, incluso si pagan el rescate.
  • Creemos que estas fallas en el ransomware han llevado al actor de amenazas a pasar al robo de datos y la extorsión en lugar del cifrado.

Más información sobre cómo Babuk está pasando de un modelo de cifrado / rescate a uno centrado en el robo y la extorsión de datos puros en nuestro análisis técnico detallado.





Enlace a la noticia initial