Progresión de Babuk, el primer ransomware del año que afecta a Chile

Babuk o también conocido como Babuk Locker es el nuevo ransomware de este 2021, el cual usa algunas de las técnicas presentes en otras familias, y que está dentro de lo que conocemos como RaaS (Ransomware-as-a-Service), donde diferentes actores participan en la creación del código y su posterior distribución. Conforme al informe publicado por McAfee el pasado […]

Babuk o también conocido como Babuk Locker es el nuevo ransomware de este 2021, el cual usa algunas de las técnicas presentes en otras familias, y que está dentro de lo que conocemos como RaaS (Ransomware-as-a-Service), donde diferentes actores participan en la creación del código y su posterior distribución.

Conforme al informe publicado por McAfee el pasado 23 de febrero, diferentes sectores se han visto afectados en todo el mundo por Babuk, entre los que destacan: Servicios de asistencia sanitaria, instituciones bancarias y financieras, hosting y transportes. El mapa de severidad proporcionado por McAfee muestra que España y Chile son dos de los países más afectados.

Mapa de infección – Fuente: McAfee (MVISION Insights)

Los informes de los analistas indican que por lo general el código no se encuentra ofuscado, aunque las últimas variantes registradas en febrero aparecen empaquetadas. Algunos comentarios de autores vinculados con este malware (biba99, RAIDforums), apuntan a nuevas variantes para sistemas Unix.

Comentario de usuario biba99 en RAIDforums

Entre la operativa habitual comprueba los servicios en ejecución para detener aquellos que permitirían su detección o análisis. También incluye una lista de procesos que cerrar en caso de encontrarse en la máquina afectada. Tras preparar el entorno empleará comandos para cifrar los recursos de la máquina, afectando también a los recursos compartidos.

Babuk usa su propio esquema de cifrado. Emplea ChaCha8, una variante de Salsa20, cifrado de flujo usado por ejemplo en el malware  REvil (Sodinokibi), así como criptografía de curva elíptica (ECDH). Durante el cifrado lanzará múltiples hebras para cifrar los discos, variando la carga de las hebras conforme el tamaño del disco. 

Aunque no es un malware complejo de analizar, y tampoco emplea técnicas novedosas, ya hay empresas que han sido víctimas de este ransomware, por los mecanismos de engaño habituales. Los precios anunciados en la nota de rescate oscilan entre 65.000 y 85.000 dólares (algo menos de 70.000 euros). Como medidas preventivas más allá de la concienciación sobre ciberseguridad y la monitorización de los recursos, se encuentran la política de backups y la segmentación de la red de la organización.