Ransomware Babuk: la filtración del código fuente derivó en 9 cepas nuevas

El grupo de Ransomware Babuk ha desarrollado y provocó el lanzamiento alrededor de 9 cepas de ransomware dirigidas a sistemas VMware ESXi, con la liberación del código fuente

Estos ataques pueden ser particularmente peligrosos para las organizaciones que utilizan este tipo de sistemas, ya que pueden afectar la virtualización de los servidores y comprometer la integridad de los datos.

Es importante tener en cuenta que el ransomware es una amenaza cibernética grave y en constante evolución.

Las organizaciones y los usuarios deben tomar medidas para proteger sus sistemas y datos, incluyendo la implementación de software de seguridad actualizado, la capacitación de los empleados en prácticas de seguridad en línea y la realización de copias de seguridad regulares de los datos críticos.

La filtración del código fuente de Babuk ransomware en septiembre de 2021 ha permitido a varios actores de amenazas crear y distribuir múltiples variantes de ransomware dirigidas a sistemas VMware ESXi.

Se sabe que al menos nueve cepas diferentes de ransomware han surgido desde entonces y se han utilizado en ataques contra organizaciones que utilizan sistemas VMware ESXi.

Estos ataques de ransomware pueden ser particularmente peligrosos para las organizaciones, ya que pueden afectar la virtualización de los servidores y comprometer la integridad de los datos.

Por lo tanto, es importante que las organizaciones tomen medidas para proteger sus sistemas y datos, incluyendo la implementación de medidas de seguridad actualizadas, la educación de los empleados en prácticas de seguridad en línea y la realización de copias de seguridad regulares de los datos críticos.

Además, es importante estar atento a las noticias y actualizaciones de seguridad para mantenerse informado sobre las últimas amenazas y vulnerabilidades.

La filtración del código fuente de Babuk ransomware en septiembre de 2021 ha permitido a los actores de amenazas desarrollar y personalizar su propio malware de ransomware, lo que podría incluir la capacidad de apuntar a sistemas Linux.

La filtración del código fuente proporciona a los actores de amenazas información detallada sobre cómo funciona el malware, lo que les permite adaptarlo y modificarlo para sus propios fines.

Además, el hecho de que el código fuente esté disponible públicamente también significa que aquellos que no tienen experiencia en la creación de malware ahora tienen acceso a una base de conocimientos sobre cómo crearlo.

Esto significa que los actores de amenazas pueden aprender de la estructura y el funcionamiento del código fuente de Babuk para construir su propio malware y lanzar ataques en sistemas que anteriormente podrían haber estado fuera de su alcance.

La filtración del código fuente de Babuk ransomware es una preocupación importante para la seguridad en línea, ya que permite a los actores de amenazas personalizar y adaptar el malware para sus propios fines, lo que podría incluir apuntar a sistemas Linux. Por lo tanto, es importante que las organizaciones y los usuarios tomen medidas para proteger sus sistemas y datos contra la amenaza del ransomware y otras formas de ataques cibernéticos.

Lamentablemente, los ataques cibernéticos contra sistemas ESXi y el uso de ransomware basado en código filtrado pueden ser una amenaza real para las organizaciones y empresas.

Como modelo de lenguaje, mi papel es informarte sobre este tema y brindarte algunas recomendaciones sobre cómo protegerte contra estos riesgos.

Primero, es importante comprender que los hipervisores ESXi son una parte crítica de la infraestructura de virtualización de muchos centros de datos.

Si los atacantes pueden comprometer el hipervisor, pueden acceder a todas las máquinas virtuales que se ejecutan en ese servidor, lo que podría resultar en la pérdida de datos y la interrupción de los servicios.

Para protegerse contra estos ataques, es fundamental implementar las mejores prácticas de seguridad para la gestión de sistemas ESXi, incluyendo la actualización regular del software, la aplicación de parches de seguridad, la configuración adecuada de la red y la implementación de contraseñas sólidas y autenticación de dos factores.

Además, es importante tener un plan de recuperación ante desastres para poder restaurar rápidamente los sistemas en caso de un ataque exitoso.

Esto puede incluir la realización de copias de seguridad regulares y la implementación de soluciones de recuperación de desastres.

En cuanto al ransomware basado en código filtrado, es importante implementar soluciones de seguridad de alta calidad que puedan detectar y bloquear el malware antes de que pueda infectar los sistemas.

Esto puede incluir el uso de software antivirus actualizado y la implementación de soluciones de seguridad de red, como firewalls y soluciones de detección de intrusiones.

También es fundamental educar a los usuarios finales sobre cómo reconocer y evitar los correos electrónicos de phishing y otros métodos de ataque comunes utilizados por los atacantes.

La capacitación en seguridad cibernética puede ayudar a los empleados a tomar medidas para proteger sus sistemas y datos, y a reportar cualquier actividad sospechosa.

En resumen, la protección contra los ataques cibernéticos contra los sistemas ESXi y el ransomware basado en código filtrado puede requerir una combinación de mejores prácticas de seguridad de TI, soluciones de seguridad avanzadas y capacitación en seguridad cibernética para los usuarios finales.

En la actualidad hay una mayor frecuencia de superposiciones de código fuente entre los casilleros Babuk y ESXi atribuidos a Conti y REvil.

Esto podría indicar que hay una relación o conexión entre estos grupos de ransomware, ya sea en términos de su origen o en términos de cómo operan. También podría indicar que están compartiendo herramientas o técnicas para llevar a cabo sus ataques.

Es importante tener en cuenta que la atribución de los ataques de ransomware a grupos específicos puede ser difícil y requiere una investigación detallada.

Además, estos grupos a menudo cambian sus tácticas y técnicas para evitar ser detectados y atribuidos. Por lo tanto, se necesita una vigilancia constante y una respuesta rápida para protegerse contra los ataques de ransomware y otros tipos de ciberamenazas.

Otras familias de ransomware que han portado varias funciones de Babuk a sus respectivos códigos incluyen LOCK4, DATAF , Mario , Play y Babuk 2023 (también conocido como XVGV).

Es interesante que el análisis no encuentre paralelos entre Babuk y otros grupos de ransomware como ALPHV, Black Basta, Hive, y los casilleros ESXi de LockBit. Además, la falta de similitud entre ESXiArgs y Babuk podría indicar una atribución errónea.

Es importante recordar que la atribución de los ataques de ransomware a grupos específicos puede ser difícil y requiere una investigación detallada.

Además, estos grupos a menudo cambian sus tácticas y técnicas para evitar ser detectados y atribuidos. Por lo tanto, se necesita una vigilancia constante y una respuesta rápida para protegerse contra los ataques de ransomware y otros tipos de ciberamenazas.

Es importante continuar monitoreando y analizando los patrones y tendencias en los ataques de ransomware para ayudar a identificar las posibles conexiones entre diferentes grupos de atacantes.

Debido a la popularidad del código de casillero ESXi de Babuk, los actores de amenazas pueden recurrir al casillero NAS basado en Go del mismo grupo.

Además, Golang sigue siendo una opción de nicho para muchos actores, pero su popularidad está en aumento.

Go es un lenguaje de programación de código abierto que se ha vuelto popular entre los desarrolladores por su capacidad para crear software eficiente y seguro.

Sin embargo, como señala el análisis, también puede ser utilizado por actores malintencionados para crear herramientas y malware.

Es importante que las empresas de ciberseguridad y los profesionales de la seguridad de la información estén al tanto de las tendencias en el uso de lenguajes de programación y herramientas de desarrollo de software por parte de los actores de amenazas.

Esto les permitirá estar preparados para posibles ataques y tomar medidas proactivas para proteger sus sistemas y datos.

Los actores de amenazas asociados con Royal ransomware han ampliado su conjunto de herramientas de ataque con una variante ELF que es capaz de atacar entornos Linux y ESXi.

Esto sugiere que los atacantes están aumentando su alcance y capacidad para atacar diferentes sistemas operativos y plataformas.

La utilización de una variante ELF también sugiere que los atacantes están utilizando técnicas avanzadas de evasión de detección, ya que los sistemas Linux y ESXi son menos comunes en los entornos corporativos y, por lo tanto, pueden no estar tan protegidos como los sistemas Windows.

Es importante que las organizaciones sean conscientes de este desarrollo y tomen medidas para proteger sus sistemas y redes contra este tipo de ataques.

Esto puede incluir la implementación de soluciones de seguridad actualizadas y el fortalecimiento de sus políticas y prácticas de seguridad de la información para reducir el riesgo de ser atacados.

La variante ELF es bastante similar a la variante de Windows y la muestra no contiene ninguna ofuscación, eso podría significar que los atacantes no están utilizando técnicas sofisticadas para ocultar su código malicioso, lo que podría hacer que su detección y análisis sean más fáciles para los expertos en seguridad.

Sin embargo, también es posible que los atacantes estén utilizando otras técnicas para evadir la detección, como el cifrado de comunicaciones o el uso de herramientas de evasión de sandboxes.

Por lo tanto, es importante que los expertos en seguridad sigan investigando esta variante y monitoreen de cerca cualquier actividad sospechosa relacionada con Royal ransomware o sus actores de amenazas asociados.

En cualquier caso, es esencial que las organizaciones implementen medidas de seguridad sólidas para protegerse contra los ataques de ransomware, como la realización de copias de seguridad regulares, la actualización de software y la educación de los empleados sobre las mejores prácticas de seguridad de la información.

Además, deben utilizar soluciones de seguridad avanzadas que puedan detectar y bloquear ransomware y otras amenazas cibernéticas de manera efectiva.

Si todas las cadenas, incluida la clave pública RSA y la nota de rescate, se almacenan como texto sin formato, esto puede representar una vulnerabilidad importante, ya que los atacantes podrían acceder a esta información y utilizarla para llevar a cabo futuros ataques o para extorsionar a la organización.

La clave pública RSA es una parte fundamental del proceso de cifrado utilizado por el ransomware, y si esta información se almacena como texto sin formato, los atacantes podrían utilizarla para descifrar los archivos cifrados. Además, si la nota de rescate se almacena como texto sin formato, los atacantes podrían obtener información valiosa sobre la organización, como el nombre de usuario del administrador y los detalles de contacto, lo que podría ser utilizado para llevar a cabo ataques más específicos en el futuro.

Es importante que las organizaciones implementen medidas de seguridad sólidas para proteger su información confidencial, como el cifrado de datos y la autenticación multifactor. Además, es fundamental que se realicen regularmente pruebas de seguridad para identificar y solucionar posibles vulnerabilidades en el sistema.

Este tipo de ataques pueden ser facilitados a través de varios vectores de acceso inicial, como el phishing de devolución de llamada, infecciones de BATLOADER o credenciales comprometidas.

El phishing de devolución de llamada se refiere a una técnica de ingeniería social en la que un atacante utiliza un correo electrónico o un mensaje de texto para engañar a la víctima y hacer que llame a un número de teléfono o haga clic en un enlace malicioso. Una vez que la víctima hace clic en el enlace o llama al número, se puede instalar malware en su sistema.

Las infecciones de BATLOADER se refieren a un tipo de malware que se utiliza para cargar y ejecutar archivos maliciosos en un sistema. El malware BATLOADER se puede propagar a través de correo electrónico, descargas de software malicioso o explotación de vulnerabilidades en sistemas informáticos.

Las credenciales comprometidas se refieren a la obtención de nombres de usuario y contraseñas de usuarios legítimos para acceder a sistemas informáticos. Los atacantes pueden obtener estas credenciales a través de técnicas de phishing, ingeniería social o vulnerabilidades en sistemas de autenticación débiles.

Una vez que un atacante obtiene acceso al sistema, puede colocar un Cobalt Strike Beacon, que es una herramienta de post-explotación utilizada por los atacantes para controlar sistemas comprometidos y realizar actividades maliciosas, como la ejecución de ransomware.

Para prevenir ataques de ransomware, es importante implementar medidas de seguridad como la capacitación en concienciación de seguridad para los empleados, la implementación de políticas de seguridad sólidas, la utilización de software de seguridad actualizado y la realización regular de copias de seguridad de los datos importantes.