Des problèmes techniques obligent le gang de ransomware Babuk à changer de tactique

Des difficultés techniques associées à la création de nouvelles variantes de ransomware pour cibler Linux et Unix, et Systèmes VMware ESXi, a peut-être forcé le gang du ransomware Babuk à changer de tactique, selon une nouvelle étude par Thibault Seret, chercheur chez McAfee et Noël Keijzer, spécialiste de la criminalistique numérique et de la réponse aux incidents au sein d’une entreprise de sécurité néerlandaise Northwave.

Babuk, un ransomware relativement peu sophistiqué mais toujours très dangereux, est apparu pour la première fois plus tôt en 2021, et les gens derrière lui ont agressivement poursuivi un certain nombre de cibles de premier plan.

À l’époque, l’équipe de recherche de McAfee a découvert que les opérateurs de ransomware expérimentaient l’écriture de leurs binaires dans le multiplateforme Golang, ou Go, la langue, et faire beaucoup d’erreurs dans le processus – un phénomène également observé par BlackBerry.

Selon Seret et Keijzer, les erreurs de codage du gang pourraient être revenues les hanter. Ils ont écrit : « Cela a conduit à une situation dans laquelle les fichiers ne pouvaient pas être récupérés, même si le paiement était effectué.

“La conception et le codage de l’outil de décryptage sont peu développés, ce qui signifie que si les entreprises décident de payer la rançon, le processus de décodage des fichiers cryptés peut être très lent et rien ne garantit que tous les fichiers seront récupérables.”

Puis, en avril 2021, les opérateurs ont annoncé qu’ils cesseraient de crypter les systèmes de leurs victimes et se concentreraient plutôt sur l’exfiltration et la publication des données de ceux qui ne répondaient pas à ses tentatives d’extorsion, ainsi que sur l’hébergement des données de publication pour d’autres opérateurs de ransomware, en déplaçant en fait vers un modèle économique de gestion de données illicites.

Les chercheurs pensent maintenant que les dommages causés par le gang en exploitant un ransomware techniquement défectueux nuisaient à leur capacité à générer des bénéfices.

“En fin de compte, les difficultés rencontrées par les développeurs Babuk dans la création du ransomware ESXi ont peut-être conduit à un changement de modèle commercial, du cryptage au vol de données et à l’extorsion”, ont écrit Seret et Keijzer.

Dans l’ensemble, le décrypteur Babuk a échoué car il ne vérifiait que l’extension de fichier .babyk, ce qui signifiait qu’il manquait tous les fichiers que la victime aurait pu renommer pour essayer de les récupérer, mais il y avait un certain nombre d’autres problèmes. Plus de détails sur la gravité exacte du décrypteur et les erreurs qui se sont glissées, peut être lu dans le rapport complet de Seret et Keijzer.

Les utilisateurs de la technologie de McAfee sont protégés contre Babuk, mais d’autres devraient être à l’affût d’un certain nombre de tactiques, techniques et procédures (TTP) qui sont, dans l’ensemble, similaires à celles utilisées par d’autres logiciels de rançon en tant que service (RaaS) concurrents. opérations.

Notamment, dans le cas de Babuk, le gang a déjà essayé de recruter des personnes ayant des compétences en tests d’intrusion, les équipes de sécurité doivent donc être à l’affût de toute activité en corrélation avec des outils de piratage open source, tels que winPEAS, Bloodhound et SharpHound, et – il a presque va sans dire – le cadre Cobalt Strike.

Le comportement douteux d’outils non malveillants à double usage, tels que ADfind, PSExec et PowerShell, peut également suggérer qu’un affilié de Babuk renifle.

Les vecteurs d’entrée privilégiés par Babuk incluent : les e-mails de spear-phishing ciblés ; l’exploitation de vulnérabilités et d’expositions communes non corrigées (CVE) ou zero-days divulguées dans des applications destinées au public ; et l’utilisation de comptes valides glanés grâce à un accès RDP (Remote Desktop Protocol) faiblement protégé.

Plus de conseils sur le verrouillage de ces points d’entrée et l’atténuation des attaques de ransomware sont disponibles du National Cyber ​​Security Center du Royaume-Uni.