Thibault Seret de McAfee y Noël Keijzer de Northwave escribieron que muchos sistemas centrales de backend de las empresas se ejecutan en estos sistemas operativos * nix, y Babuk perdió poco tiempo en infectar a víctimas de alto perfil a pesar de los numerosos problemas con el binario. Los investigadores notaron que algunas bandas de ransomware experimentaron escribiendo sus binarios en el lenguaje multiplataforma Golang (Go).
“Parece que Babuk ha adoptado pruebas beta en vivo en sus víctimas cuando se trata de su desarrollo de descifrado y binario Golang. Hemos visto varias máquinas de víctimas cifradas irreparablemente debido a un binario defectuoso o un descifrador defectuoso”, dijeron Seret y Keijzer. .
“Incluso si una víctima cedió a las demandas y se vio obligada a pagar el rescate, aún no podría recuperar sus archivos. Esperamos firmemente que la mala codificación también afecte la relación de Babuk con sus afiliados. Los afiliados realizan el compromiso real y están ahora se enfrenta a una víctima que no puede recuperar sus datos incluso si paga. Esto esencialmente cambia la dinámica del crimen de la extorsión a la destrucción, que es mucho menos rentable desde el punto de vista de un criminal “.
El ataque típico de Babuk presenta tres fases distintas: acceso inicial, propagación de la red y acción sobre los objetivos.
Babuk también operó un modelo de ransomware como servicio antes de cerrar en abril . Northwave investigó un ataque de Babuk que se perpetró a través de la vulnerabilidad CVE-2021-27065 que también estaba siendo explotada por el actor de amenazas HAFNIUM .
Según el informe, una vez que se obtiene acceso, el actor de amenazas colocó una puerta trasera Cobalt Strike en el sistema. Los atacantes generalmente usan cobalt Strike para el acceso repetido, y Northwave encontró múltiples puertas traseras en “varios sistemas clave dentro de la red”.
“Durante las etapas posteriores del ataque, el actor de la amenaza optó por crear una nueva cuenta de administrador local en algunos de los sistemas como un medio de persistencia adicional. El movimiento lateral entre los sistemas Windows se logró mediante RDP”, dice el informe.
“Para las conexiones a sistemas Linux, el atacante hizo uso de SSH (usando Putty). La transferencia de archivos a sistemas Linux se realizó usando WinSCP desde sistemas Windows. Mientras que las herramientas usadas en sistemas Windows se descargaron de Internet. El actor de amenazas hizo uso de Los sitios web de alojamiento de archivos “temp.sh” y “wdfiles.ru” para alojar la mayoría de sus herramientas. Otras herramientas se descargaron directamente desde GitHub o los sitios web de sus respectivos desarrolladores “.
El atacante también usó DFind, NetScan y LAN Search Pro para buscar en el entorno y exfiltrar datos antes de implementar el ransomware.
Una vez que los datos comprimidos se filtraron tanto en Mega como en Google Drive, el atacante destruyó las copias de seguridad de la víctima y pasó a los hosts ESXi de la víctima para implementar un binario de ransomware precompilado.
Ese binario cifra todas las máquinas virtuales de la víctima. Aún así, según el análisis de McAfee, estaba “muy mal implementado y contenía varios defectos de diseño diferentes que daban como resultado la corrupción irreversible de los datos”.
A fines de abril, los operadores de Babuk decidieron cambiar las cosas luego del ataque de ransomware ampliamente cubierto en el Departamento de Policía de DC .
Después de intentar y fracasar en extorsionar al departamento de policía, los líderes del grupo dijeron que ya no cifrarían los sistemas y que se concentrarían en la exfiltración de datos. También se comprometieron a hacer de su ransomware un proyecto de código abierto mediante la publicación del código.