Les hoquets techniques forcent babuk ransomware gang à changer de tactique

Les difficultés techniques associées à la création de nouvelles variantes de ransomware pour cibler Linux et Unix, et les systèmes VMware ESXi, ont peut-être forcé le gang de ransomware Babuk à changer leurs tactiques, selon une nouvelle recherche du chercheur McAfee Thibault Seret et Noël Keijzer, un spécialiste de la criminalistique numérique et de la réponse aux incidents de la société de sécurité néerlandaise Northwave.

Babuk, un ransomware relativement peu sophistiqué mais toujours très dangereux, a émergé pour la première fois plus tôt en 2021, et les personnes derrière lui se sont agressivement pris pour cible un certain nombre de cibles de haut niveau.

À l’époque, l’équipe de recherche de McAfee a découvert que les opérateurs de ransomware expérimentaient l’écriture de leurs fichiers binaires dans le langage golang multiplateforme, ou go, et faisaient beaucoup d’erreurs dans le processus – un phénomène également observé par BlackBerry.

Selon Seret et Keijzer, les erreurs de codage du gang pourraient être revenus les hanter. Ils ont écrit: « Cela a conduit à une situation dans laquelle les fichiers ne pouvaient pas être récupérés, même si le paiement était effectué.

« La conception et le codage de l’outil de décryptage sont peu développés, ce qui signifie que si les entreprises décident de payer la rançon, le processus de décodage pour les fichiers cryptés peut être vraiment lent et il n’y a aucune garantie que tous les fichiers seront récupérables. »

Puis, en avril 2021, les opérateurs ont annoncé qu’ils cesseraient de crypter les systèmes de leurs victimes et se concentreraient plutôt sur l’exfiltration et la publication de données de ceux qui ne répondaient pas à ses tentatives d’extorsion, ainsi que sur l’hébergement des données de publication pour d’autres opérateurs de ransomware, se déplaçant en fait vers un modèle commercial de gestion de données illicites.

Les chercheurs pensent maintenant que les dommages causés par le gang en opérant avec ransomware techniquement défectueux nuisait à leur capacité à réaliser un profit.

« En fin de compte, les difficultés rencontrées par les développeurs babuk dans la création du ransomware ESXi ont peut-être conduit à un changement de modèle commercial, du cryptage au vol de données et à l’extorsion », ont écrit Seret et Keijzer.

Dans l’ensemble, le décrypteur Babuk a échoué car il n’a vérifié que l’extension de fichier .babyk, ce qui signifie qu’il a manqué tous les fichiers que la victime aurait pu renommer pour essayer de les récupérer, mais il y avait un certain nombre d’autres problèmes avec elle. Plus de détails sur exactement à quel point le décrypteur était mauvais, et les erreurs qui se sont glissées, peuvent être lus dans le rapport complet de Seret et Keijzer.

Les utilisateurs de la technologie de McAfee sont protégés contre Babuk, mais d’autres doivent être à l’affût d’un certain nombre de tactiques, de techniques et de procédures (TTP) qui sont, dans l’ensemble, similaires à celles utilisées par d’autres opérations de ransomware-as-a-service (RaaS) concurrentes.

Notamment, dans le cas de Babuk, le gang a déjà essayé de recruter des personnes ayant des compétences en matière de tests de pénétration, de sorte que les équipes de sécurité devraient être à l’affût de toute activité en corrélation avec les outils de piratage open source, tels que winPEAS, Bloodhound et SharpHound, et – cela va presque sans dire – le cadre Cobalt Strike.

Le comportement douteux d’outils non malveillants à double usage, tels que ADfind, PSExec et PowerShell, peut également suggérer qu’un affilié Babuk reniflent.

Les vecteurs d’entrée privilégiés par Babuk ont inclus: les e-mails de spear-phishing ciblés; l’exploitation de vulnérabilités et d’expositions communes (CVE) non corrigées divulguées ou de jours zéro dans les applications destinées au public; et l’utilisation de comptes valides glanés grâce à un accès RDP (Remote Desktop Protocol) faiblement protégé.

Plus de conseils sur le verrouillage de ces points d’entrée et l’atténuation des attaques de ransomware sont disponibles auprès du National Cyber Security Centre du Royaume-Uni.