El ransomware Babuk regresa a las redes corporativas específicas

A pesar de la señal de que dejarán el negocio, los operadores de ransomware Babuk parecen haber abandonado sus viejos hábitos con un nuevo ataque a las redes corporativas.

Conforme una publicación de blog por los investigadores de Malwarebytes, se descubrió una nueva versión del constructor Babuk, que se utiliza para crear las cargas útiles de ransomware y el módulo de descifrado únicos.

Los operadores de Babuk aparecieron por última vez a fines del año pasado cuando atacaron al Departamento de Policía Metropolitana (MPD) de Washington DC y divulgaron los datos personales de varios oficiales del MPD. Sin embargo, poco después anunciaron que sus operaciones habían sido suspendidas.

«El proyecto Babuk se cerrará, su código fuente estará disponible para el público, haremos algo como Open Source RaaS, todos pueden hacer su propio producto basado en nuestro producto», dijeron los ciberdelincuentes.

Sin embargo, la semana pasada, el investigador de seguridad Kevin Beaumont descubrió el código fuente de la pandilla. VirusTotal. Uno Pío, dijo que la nueva versión incluye un constructor que creará ransomware para Windows, máquinas virtuales VMware ESXi y almacenamiento conectado a la red basado en arquitecturas x86 y ARM.

Pieter Arntz, investigador de seguridad de Malwarebytes, dijo que la pregunta desconcertante aquí es por qué el constructor obtuvo VirusTotal en primer lugar. Dijo que este sitio web se usa a menudo como una forma rápida para que las partes interesadas verifiquen si un archivo es malicioso o no.

«Pero ha pasado un tiempo desde que los autores de malware fueron lo suficientemente inteligentes como para subir su trabajo a VT para ver si fue detectado por la industria anti-malware», agregó.

«Los proveedores que cooperan en OT tienen acceso a cualquier archivo que se cargue allí. Entonces, si su malware recién creado no fue detectado de inmediato, lo sería inmediatamente después. Desde entonces, los autores de malware han tenido sus propios servicios para realizar estas comprobaciones sin compartir su trabajo con proveedores de anti-malware. «

Arntz agregó que al cargar el constructor en VirusTotal, los piratas informáticos hicieron que el código fuente estuviera virtualmente disponible. Había varias razones posibles para hacerlo. Alguien recibió o encontró el archivo y no confió en él, por lo que buscaron malware en VT; alguien quería destruir la operación de Babuk arrojando su constructor debajo del autobús (VT): o los operadores de Babuk eligieron esto como una forma extraña de hacer que el código fuente estuviera disponible, según Arntz.

«Otro hecho que puede tener una consecuencia, de alguna manera, es que los investigadores han encontrado varios defectos en Babuk cifrado y código de descifrado. Estos defectos ocurren cuando un ataque involucra servidores ESXi y son lo suficientemente graves como para provocar la pérdida total de datos para la víctima «, dijo Arntz.

Rate this post

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio