• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Progresión de Babuk, el primer ransomware del año

Progresión de Babuk, el primer ransomware del año

25 febrero, 2021 Por Ana Nieto Deja un comentario

El año pasado ya pronosticaban los expertos que 2021 seguiría cargado de ransomware. No se hizo esperar con Babuk (Babuk Locker, Babyk Ransomware. Vasa Locker), un nuevo ransomware que asomó a nuestras vidas a principios de Enero de 2021, y que usa algunas de las técnicas presentes en otras familias.

Entra dentro de lo que conocemos como RaaS (Ransomware-as-a-Service), donde diferentes actores participan en la creación del código y su posterior distribución. Los atacantes por lo general pedirán rescate, pero también amenazarán con la publicación del contenido. Precisamente, como se describe en un artículo anterior de este mismo medio, el código de CyberPunk 2007 fue vendido este febrero justamente tras ser la compañía víctima de un ransomware. 

Conforme al informe publicado por McAfee el pasado 23 de Febrero, diferentes sectores se han visto afectados en todo el mundo por Babuk, entre los que destacan: servicios de asistencia sanitaria, instituciones bancarias y financieras, hosting y transportes. El mapa de severidad proporcionado por la herramienta MVISION de McAfee muestra que España y Chile son dos de los países más afectados en el momento de redacción de este artículo.  

Mapa de infección. Fuente: McAfee (MVISION Insights)

Los informes de los analistas indican que por lo general el código no se encuentra ofuscado, aunque las últimas variantes registradas en febrero aparecen empaquetadas. Algunos comentarios de autores vinculados con este malware (biba99, RAIDforums), apuntan a nuevas variantes para sistemas Unix.

Comentario de usuario biba99 en RAIDforums

Entre la operativa habitual comprueba los servicios en ejecución para detener aquellos que permitirían su detección o análisis. También incluye una lista de procesos que cerrar en caso de encontrarse en la máquina afectada. Tras preparar el entorno empleará comandos para cifrar los recursos de la máquina, afectando también a los recursos compartidos.

Babuk usa su propio esquema de cifrado. Emplea ChaCha8, una variante de Salsa20, cifrado de flujo usado por ejemplo en el malware  REvil (Sodinokibi), así como criptografía de curva elíptica (ECDH). Durante el cifrado lanzará múltiples hebras para cifrar los discos, variando la carga de las hebras conforme el tamaño del disco. 

Aunque no es un malware complejo de analizar, y tampoco emplea técnicas novedosas, ya hay empresas que han sido víctimas de este ransomware, por los mecanismos de engaño habituales. Los precios anunciados en la nota de rescate oscilan entre 65.000 y 85.000 dólares (algo menos de 70.000 euros). Como medidas preventivas más allá de la concienciación sobre ciberseguridad y la monitorización de los recursos, se encuentran la política de backups y la segmentación de la red de la organización. 

Más información: 

Technical Analysis of Babuk Ransomware. Alexandre Mundo, Thibault seret, Thomas Roccia y John Fokker. McAfee. https://www.mcafee.com/enterprise/en-us/assets/reports/rp-babuk-ransomware.pdf

Babuk Ransomware. Chuong Dong, 3 Enero 2021. http://chuongdong.com/reverse%20engineering/2021/01/03/BabukRansomware/

Babyk Ransomware won’t hit charities, unless they support LGBT, BLM. Lawrence Abrams, 2 Febrero 2021. https://www.bleepingcomputer.com/news/security/babyk-ransomware-wont-hit-charities-unless-they-support-lgbt-blm/

TOP Malware Series: REvil Ransomware. CRONUP. 16 Septiembre 2020. https://www.cronup.com/post/top-malware-series-revil-ransomware

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Pentesting con FOCA

Análisis Forense Digital

Hacking de dispositivos iOS

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Chema Alonso entrevista a Richard Stallman - Parte II
  • Reacción ante ciberataques... en vacaciones

Entradas recientes

  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total
  • SAMBA puede poner en riesgo miles de instalaciones si no son actualizadas a tiempo.
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...