Babuk fue adaptado para apuntar a ESXi

Hace dos años, se filtró el código fuente de un popular grupo de atacantes ciberneticos que emplean el  equema RaaS. Ahora, muchos grupos de ransomware lo están utilizando para sus propios fines.
Durante el año 2022, al menos 10 familias de ransomware han utilizado el codigo fuente de Babuk para desarrollar lockers de VMware ESXi.
Los atacantes al poner como objetivo los ESXi pueden infectar varias máquinas virtuales en un mismo entorno empresarial de forma aún más directa y eficaz de lo que podrían hacerlo a travéz de mecanismos y medios convencionales.
Otras operaciones de ransomware ESXi más pequeñas también adoptaron el código, incluidos House's Mario, Play, Cylance (no relacionado con la empresa de seguridad del mismo nombre), Dataf Locker, Lock4 y XVGV.
Se han observado pandillas de ransomware infames como Alphv/BlackCat, Black Basta, Conti, Lockbit y REvil que también se dirigen a implementaciones de ESXi.
De las negociaciones de rescate con las víctimas oscilan entre $60,000 y $85,000 en Bitcoin.

Con esta información te preguntarás ¿cómo es que Babuk encripta los equipos? Lo veremos a continuación.
Normalmente, cada ejecutable se personaliza para cada víctima, tanto el código, como la nota de rescate y una url diferente de Tor.
Según el investigador de seguridad Chuong Dong, quien también analizó el nuevo ransomware, la codificación de Babuk Locker es de aficionados, pero incluye un cifrado seguro que evita que las víctimas recuperen sus archivos de forma gratuita.
A pesar de lo mencionado anteriormente, la fuente del código utiliza un esquema de encriptación con el algoritmo Diffie-Hellman esto lo hace sumamente efectivo para atacar a las empresas y se ha demostrado hasta ahora.

Cuando se inicia, los actores de amenazas pueden usar un argumento de línea de comandos para controlar cómo el ransomware debe cifrar los recursos compartidos de red y si deben cifrarse antes que el sistema de archivos local. Los argumentos de la línea de comandos que controlan este comportamiento se enumeran a continuación:
-lanfirst
-lansecond
-nolan

Ya que fue lanzado, el ransomware finaliza varios procesos y servicios del sistema operativo que ayudan a mantener archivos abiertos y evitar cifrado de archivos, lo que normalmente incluye los servicios terminados son servidores de bases de datos, servidores de correo, herramientas de respaldo, clientes de correo y navegadores web.
Al cifrar archivos, Babuk Locker utilizará una extensión codificada y la agregará a cada archivo cifrado, como se muestra a continuación. La extensión codificada actual utilizada para todas las víctimas hasta ahora es .__NIST_K571__.



Se creará una nota de rescate llamada Cómo restaurar sus archivos.txt en cada carpeta. Esta nota de rescate contiene información básica sobre lo que sucedió durante el ataque y un enlace a un sitio Tor donde la víctima puede negociar con los operadores de ransomware.



El sitio Babuk Locker Tor no es nada lujoso y simplemente contiene una pantalla de chat donde la víctima puede hablar con los actores de amenazas y negociar un rescate. Como parte del proceso de negociación, los operadores de ransomware preguntan a sus víctimas si tienen un seguro cibernético y si están trabajando con una empresa de recuperación de ransomware.
Los atacantes también pedirán a las víctimas el archivo %AppData%\ecdh_pub_k.bin, que contiene la clave ECDH pública de las víctimas que permite a los actores de amenazas realizar una prueba de descifrado de los archivos de la víctima, o proporcionar un descifrador.









 

Versiones Afectadas

N/A

Recomendaciones

¿Cuál es el aspecto importante de esto?, adelantarnos y protegernos ante estas campañas de ataque que se están explotando de forma masiva y ampliamente a nivel mundial, por ello les proporcionamos los siguientes indicadores de compromiso para que se den de alta en las herramientas de seguridad.

Hashes Babuk SHA-256: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Referencias

https://www.securityweek.com/leaked-babuk-code-fuels-new-wave-of-vmware-esxi-ransomware/
https://www.darkreading.com/cloud/multiple-ransomware-groups-adapt-babuk-code-to-target-esxi-vms
https://www.bleepingcomputer.com/news/security/babuk-locker-is-the-first-new-enterprise-ransomware-of-2021/
https://www.pcrisk.com/removal-guides/19783-babuk-lockerransomware#:~:text=Babuk%20Locker%20is%20ransomware%20that,__NIST_K571__%22%20extension

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios