TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Red.
Impacto: Cifrado de la información.
Región inicial: Estados Unidos.
Comunidad objetivo: Sector privado.
ID MISP: 4698 y 4699.

Descripción

Una firma de seguridad identificó una campaña relacionada con un nuevo ransomware que afecta a sistemas Windows y al cual han nombrado “Babuk Locker”. Los ataques relacionados con este programa malicioso han sido originados desde principios de 2021 y han afectado a algunas organizaciones alrededor del mundo.

Una vez que el programa malicioso ingresa a la red y logra vulnerar un dispositivo, comienza a ejecutar un script, el cual utiliza la funcionalidad “Windows Restart Manager” para cerrar los procesos legítimos del sistema operativo y otros servicios, como aplicaciones, servidores de respaldo, de correo electrónico, de bases de datos, entre otros.

Posteriormente, el programa comienza a cifrar los documentos del equipo utilizando el algoritmo “Diffie-Hellman de curva elíptica” y agregando a los archivos la extensión “._NIST_K571__”. Después añade una nota de rescate con el nombre “How To Restore Your Files” donde incluye una URL para contactarse con el atacante y enlaces a imágenes que demuestran que los usuarios maliciosos robaron archivos en texto claro durante el ataque.

Según las investigaciones, el pago del rescate varía entre 60 mil y 85 mil dólares, y a la fecha no se ha identificado alguna herramienta o software que permita descifrar los archivos infectados por este programa malicioso.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas

  • Sistema Operativo Microsoft Windows

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • Nombre de archivo: BABUK[.]exe
    • MD5: e10713a4a5f635767dcd54d609bed977
    • SHA-1: 320d799beef673a98481757b2ff7e3463ce67916
    • SHA-256: 8203c2f00ecd3ae960cb3247a7d7bfb35e55c38939607c85dbdb5c92f0495fa9

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como SIEM, SOAR, IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Realizar copias de seguridad de manera periódica y almacenarlas en entornos aislados y seguros.
  • Monitorear el tráfico de la red para detectar actividad inusual en la red.
  • Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
  • Concientizar a los usuarios finales acerca de este tipo de amenazas.

Referencias