Progresión de Babuk, el primer ransomware del año

El año pasado ya pronosticaban los expertos que 2021 seguiría cargado de ransomware. No se hizo esperar con Babuk (Babuk Locker, Babyk Ransomware. Vasa Locker), un nuevo ransomware que asomó a nuestras vidas a principios de Enero de 2021, y que usa algunas de las técnicas presentes en otras familias.

Entra dentro de lo que conocemos como RaaS (Ransomware-as-a-Service), donde diferentes actores participan en la creación del código y su posterior distribución. Los atacantes por lo general pedirán rescate, pero también amenazarán con la publicación del contenido. Precisamente, como se describe en un artículo anterior de este mismo medio, el código de CyberPunk 2007 fue vendido este febrero justamente tras ser la compañía víctima de un ransomware.

Conforme al informe publicado por McAfee el pasado 23 de Febrero, diferentes sectores se han visto afectados en todo el mundo por Babuk, entre los que destacan: servicios de asistencia sanitaria, instituciones bancarias y financieras, hosting y transportes. El mapa de severidad proporcionado por la herramienta MVISION de McAfee muestra que España y Chile son dos de los países más afectados en el momento de redacción de este artículo.

Mapa de infección. Fuente: McAfee (MVISION Insights)

Los informes de los analistas indican que por lo general el código no se encuentra ofuscado, aunque las últimas variantes registradas en febrero aparecen empaquetadas. Algunos comentarios de autores vinculados con este malware (biba99, RAIDforums), apuntan a nuevas variantes para sistemas Unix.

Comentario de usuario biba99 en RAIDforums

Entre la operativa habitual comprueba los servicios en ejecución para detener aquellos que permitirían su detección o análisis. También incluye una lista de procesos que cerrar en caso de encontrarse en la máquina afectada. Tras preparar el entorno empleará comandos para cifrar los recursos de la máquina, afectando también a los recursos compartidos.

Babuk usa su propio esquema de cifrado. Emplea ChaCha8, una variante de Salsa20, cifrado de flujo usado por ejemplo en el malware REvil (Sodinokibi), así como criptografía de curva elíptica (ECDH). Durante el cifrado lanzará múltiples hebras para cifrar los discos, variando la carga de las hebras conforme el tamaño del disco.

Aunque no es un malware complejo de analizar, y tampoco emplea técnicas novedosas, ya hay empresas que han sido víctimas de este ransomware, por los mecanismos de engaño habituales. Los precios anunciados en la nota de rescate oscilan entre 65.000 y 85.000 dólares (algo menos de 70.000 euros). Como medidas preventivas más allá de la concienciación sobre ciberseguridad y la monitorización de los recursos, se encuentran la política de backups y la segmentación de la red de la organización.

Ver información original al respecto en Fuente>