Un reporte de seguridad de McAfee señala que los operadores del ransomware Babuk han estado implementando algunos nuevos mecanismos de ataque para infectar sistemas Linux, UNIX y VMware, lo que permitiría el compromiso de organizaciones de alto perfil que recurren a estos sistemas. Una característica llamativa de estas nuevas prácticas es el uso del lenguaje multiplataforma Golang para la escritura de binarios.
Esto podría traer consecuencias desastrosas, ya que los investigadores reportan el hallazgo de algunos sistemas infectados por Babuk que simplemente no pueden ser restablecidos debido al uso de un binario defectuoso o una herramienta de descifrado poco funcional.
Los investigadores Thibault Seret y Noël Keijzer mencionan: “Las víctimas podrían ceder a las exigencias de los hackers y aún así no poder recuperar sus archivos. Esto cambia la dinámica de la extorsión a la destrucción total de los archivos afectados, lo cual creemos no forma parte del plan de los hackers pues impacta directamente en sus ganancias.”
Un ataque convencional de Babuk involucra tres diferentes fases: acceso inicial, propagación en la red afectada y ataque contra el objetivo; esta última fase implica la instalación de un backdoor Cobalt Strike que completa las acciones maliciosas. No obstante, el binario empleado por los actores de amenazas para sistemas Windows está mal implementado e incluye múltiples defectos de diseño que podrían resultar en la corrupción irreversible de los datos comprometidos.
Otro cambio importante en Babuk se presentó hace unas semanas después del infructuoso ataque contra el Departamento de Policía de E.U. Este fracaso llevó a los hackers de Babuk a cambiar su metodología, anunciando que dejarían de cifrar sistemas para centrarse en la extracción de información confidencial, además de prometer que el ransomware empleado en sus ataques se convertiría en un proyecto de código abierto.
Estas podrían parecer buenas noticias para los usuarios afectados, aunque en algunos casos el daño ya está hecho. Los archivos cifrados de número considerable de víctimas ya no podrán ser recuperados debido a la implementación errónea del cifrado y el deficiente desarrollo de la herramienta de descifrado. Los investigadores creen altamente probable que los desarrolladores de Babuk se hayan dado cuenta de este fenómeno, por lo que decidieron modificar sus operaciones.
El último incidente de hacking vinculado a Babuk conocido es la filtración de del código fuente del videojuego Cyberpunk 2077. Después de ello, el grupo de hacking ha permanecido inactivo, probablemente debido a la transición a su nuevo esquema criminal.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
