Babuk Locker, el ransomware que inaugura el 2021

Días después de iniciarse el 2021, ya ha surgido una nueva forma de ransomware: Babuk Locker.

Detallado por primera vez el domingo por Chuang Dong, el ransomware utiliza su propia implementación de cifrado SHA256 llamada «ChaCha8» y también utiliza la llamada generación de claves Diffie-Hellman de curva elíptica para proteger sus claves y cifrar archivos. 

La nueva familia de ransomware, llamada Babuk, ha reclamado al menos cuatro víctimas corporativas que enfrentan intentos de extorsión por recuperación de datos.

Según el investigador Chuong Dong, el ransomware es bastante estándar y carece de ofuscación, pero advirtió que los ciberdelincuentes han tenido éxito con el uso de cifrado fuerte.

«A pesar de las prácticas de codificación de aficionados utilizadas, su sólido esquema de cifrado que utiliza el algoritmo Diffie-Hellman de curva elíptica ha demostrado ser eficaz para atacar a muchas empresas hasta ahora», explicó Dong.

Babuk utiliza una implementación patentada de cifrado ChaCha8, hash SHA256 y algoritmo de curva elíptica Diffie-Hellman (ECDH) para la generación e intercambio de claves para asegurar claves y cifrar archivos. Además, para cada muestra de malware, los autores utilizan una única clave privada.

El ransomware solo cifra las máquinas locales si no se proporcionan parámetros de línea de comando. Con parámetros, puede cifrar solo localmente o pasar a cifrar recursos compartidos de red después de cifrar máquinas locales.

Babuk también incluye la funcionalidad para cerrar servicios y procesos específicos antes de iniciar la operación de cifrado. Se dirige a múltiples servicios de respaldo, así como a procesos para bases de datos, aplicaciones de oficina, navegador y clientes de correo electrónico.

Utiliza el Administrador de reinicio de Windows para finalizar los procesos, para garantizar que los archivos se puedan cifrar e intenta eliminar las instantáneas, tanto antes como después del cifrado.

Típico de las formas más frecuentes de ransomware el año pasado, Babuk Locker incluye el robo de datos con la amenaza de que si no se paga un rescate, los datos robados se publicarán en línea. Quienes están detrás de Babuk Locker están publicando datos robados en un foro de piratería en lugar de en su propio sitio de filtración dedicado.

«Babuk es el último en aparecer en el radar y parece que los ‘actores de amenazas’ gastaron todo su dinero de Navidad en fragmentos de código que improvisaron para crear este ransomware», Lamar Bailey, director senior de investigación de seguridad de la firma de ciberseguridad Tripwire. Inc., le dijo a SiliconANGLE. “Parte del código está bien hecho y otras áreas, como el multihilo, es elemental. Sospecho que se quedaron sin dinero para comprar un buen código y, en cambio, juntaron lo que tenían con goma de mascar y alambre de rescate».

Bailey explicó que si las víctimas intentan pagar el rescate, deben cargar archivos en un chat para que los piratas informáticos puedan asegurarse de que pueden descifrar los archivos, y es probable que haya una alta tasa de fallas. “¿Harán dinero? Absolutamente ”, dijo. “Pero como muchas modas pasajeras, esto será cosa del pasado en unos meses y no generará mucho dinero a largo plazo. Hasta entonces, manténgase alejado de los archivos .exe de 32 bits».