McAfee : le décrypteur de ransomware Babuk provoque un cryptage « au-delà de la réparation »

Un nouveau rapport de McAfee Advanced Threat Research met en lumière le gang de ransomware Babuk, qui a récemment annoncé qu’il développerait un binaire multiplateforme destiné aux systèmes Linux/UNIX et ESXi ou VMware.

Thibault Seret de McAfee et Noël Keijzer de Northwave ont écrit que de nombreux systèmes principaux dans les entreprises fonctionnent sur ces systèmes d’exploitation * nix et Babuk n’a pas perdu de temps à infecter des victimes très médiatisées malgré de nombreux problèmes avec le binaire. Les chercheurs ont noté qu’ils avaient vu des gangs de ransomware expérimenter l’écriture de leurs binaires dans le langage multiplateforme Golang (Go).

“Il semble que Babuk ait adopté des tests bêta en direct sur ses victimes en ce qui concerne le développement de son binaire et de son décrypteur Golang. Nous avons vu plusieurs machines de victimes cryptées de manière irréparable en raison d’un binaire défectueux ou d’un décrypteur défectueux”, ont déclaré Seret et Keijzer. .

“Même si une victime cédait aux demandes et était forcée de payer la rançon, elle ne pouvait toujours pas récupérer ses fichiers. Nous espérons vivement que le mauvais codage affecte également la relation de Babuk avec ses affiliés. Les affiliés sont ceux qui effectuent le véritable compromis et sont désormais confrontés à une victime qui ne peut pas récupérer ses données même si elle paie. Cela change essentiellement la dynamique du crime de l’extorsion à la destruction qui, du point de vue du criminel, est beaucoup moins rentable.

L’attaque typique de Babuk comporte trois phases distinctes : l’accès initial, la propagation du réseau et l’action sur les objectifs.

Babuk a également exploité un modèle de ransomware en tant que service avant de fermer ses portes en avril. Northwave a enquêté sur une attaque Babuk qui a été perpétrée via la vulnérabilité CVE-2021-27065 également exploitée par l’acteur de la menace HAFNIUM.

Une fois l’accès obtenu, l’acteur malveillant a placé une porte dérobée Cobalt Strike sur le système, selon le rapport. Cobalt Strike est généralement utilisé par les attaquants pour un accès répété et Northwave a trouvé plusieurs portes dérobées sur « plusieurs systèmes clés au sein du réseau ».

Grâce à une version personnalisée de zer0dump, l’attaquant a pu obtenir des informations d’identification d’administrateur de domaine et a utilisé Mimikatz pour accéder aux informations d’identification.

“Au cours des étapes ultérieures de l’attaque, l’acteur de la menace a choisi de créer un nouveau compte d’administrateur local sur certains des systèmes comme moyen de persistance supplémentaire. Le mouvement latéral entre les systèmes Windows a été réalisé à l’aide de RDP”, indique le rapport.

“Pour les connexions aux systèmes Linux, l’attaquant a utilisé SSH (à l’aide de Putty). Le déplacement de fichiers vers les systèmes Linux a été effectué à l’aide de WinSCP à partir des systèmes Windows. Alors que les outils utilisés sur les systèmes Windows ont été téléchargés à partir d’Internet. L’acteur de la menace a utilisé le ” temp.sh” et “wdfiles.ru” hébergeant des sites Web pour héberger la plupart de ses outils. D’autres outils ont été téléchargés directement depuis GitHub ou les sites Web de leurs développeurs respectifs. “

L’attaquant a également utilisé DFind, NetScan et LAN Search Pro pour rechercher dans l’environnement et exfiltrer les données avant de déployer le ransomware.

Une fois les données compressées exfiltrées vers Mega et Google Drive, l’attaquant a détruit les sauvegardes de la victime et est passé aux hôtes ESXi de la victime pour déployer un binaire de ransomware précompilé.

Ce binaire crypte toutes les machines virtuelles d’une victime, mais selon l’analyse de McAfee, il était “très mal implémenté et contenait plusieurs défauts de conception différents qui ont entraîné une corruption irréversible des données”.

Fin avril, les opérateurs de Babuk ont ​​décidé de changer les choses à la suite de l’attaque de ransomware largement couverte contre le département de police de DC.

Après avoir tenté et échoué à extorquer le service de police, les dirigeants du groupe ont déclaré qu’ils ne chiffreraient plus les systèmes et se concentreraient plutôt sur l’exfiltration de données. Ils se sont également engagés à faire de leur ransomware un projet open source en publiant le code.

Un récent message de Babuk.

McAfee

“L’acteur de la menace a indiqué qu’il se concentrerait sur la publication des données des victimes qui ne répondaient pas à ses demandes de rançon. En outre, l’acteur de la menace a indiqué qu’il hébergerait et publierait des données pour d’autres groupes. En tant que tel, l’acteur de la menace Babuk semble se diriger vers un poste de gestion des données », indique le rapport.

« Compte tenu de la mauvaise conception de son logiciel de rançon, un bon nombre de victimes devraient éviter de perdre complètement leurs données lorsqu’elles sont attaquées par Babuk. données vers un schéma de double extorsion où les acteurs de la menace à la fois cryptent les données de la victime et les exfiltrent également.Il est intéressant de voir les acteurs de la menace évoluer maintenant vers un schéma où leur seule source de pression pour extorquer les victimes est l’exfiltration de données sensibles. “

L’équipe Babuk a commencé à divulguer des données, en publiant d’abord le code source du jeu Cyberpunk 2077 en mai. Mais après cela, le gang est redevenu noir selon le rapport.

L’étude traite également du décrypteur Babuk, qui, selon Seret et Keijzer, a une limite dans le nombre maximum d’octets à décrypter, “ce qui est étrange”.

“Dans l’ensemble, le décrypteur est médiocre car il ne vérifie que l’extension ‘.babyk’ qui manquera tous les fichiers que la victime peut avoir renommés pour tenter de les récupérer. En outre, le décrypteur vérifie si le fichier fait plus de 32 octets de long car les 32 derniers octets sont combinés plus tard avec d’autres valeurs codées en dur pour obtenir la clé finale”, indique l’étude.

“C’est une mauvaise conception car ces 32 octets pourraient être des déchets, au lieu de la clé, car le client pourrait faire des choses, etc. Il ne fonctionne pas efficacement en vérifiant les chemins qui sont vérifiés dans le malware, au lieu de cela, il analyse tout.”

Seret et Keijzer poursuivent en expliquant que le ransomware Babuk a causé des dommages importants car il utilisait un ransomware défectueux qui a conduit à un processus de décryptage qui échoue dans certains cas, causant des « dommages irrécupérables ».

“Nous soupçonnons que cette mauvaise conception du ransomware est la raison pour laquelle l’acteur de la menace a décidé de s’orienter vers un poste de gestion des données”, ont ajouté Seret et Keijzer.

“En fin de compte, les difficultés rencontrées par les développeurs Babuk dans la création du ransomware ESXi ont peut-être conduit à un changement de modèle commercial, du cryptage au vol de données et à l’extorsion.”

McAfee Advanced Threat Research a averti que Babuk publiait des notes de recrutement demandant des personnes possédant des compétences en pentest. Ils exhortent les défenseurs à surveiller les outils de test d’intrusion tels que winPEAS, Bloodhound et SharpHound, ou les frameworks de piratage tels que CobaltStrike, Metasploit, Empire ou Covenant.

Related Site :
ratelasvegas.com
atlashotelbudapest.com
pollauthority.com
orquesta-pablo-sarasate.com
clavisjournal.com