I ricercatori di Cisco Talos hanno recentemente scoperto una campagna malevola avente lo scopo di distribuire varianti del ransomware Babuk, colpendo in particolar modo gli utenti negli Stati Uniti anche se la campagna ha interessato con un numero inferiore di infezioni anche alcuni paesi europei, Ucraina, Brasile, Honduras e Thailandia.
La responsabilità della minaccia, secondo i ricercatori, risulterebbe dedotta in base ai nomi dei payload trovati e utilizzati nella campagna e sarebbe da attribuire a Tortilla, un nuovo gruppo criminale operante dallo scorso mese di luglio e che avrebbe già sperimentato altri payload per ottenere accessi non autorizzati alle macchine Windows (come ad esempio il clone netcat basato su PowerShell Powercat).
Nella fattispecie, l’attacco in oggetto prevede con molta probabilità lo sfruttamento delle vulnerabilità denominate ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) che interessano Microsoft Exchange Server attraverso l’implementazione della web shell China Chopper.
Tali vulnerabilità sebbene già sanate dal fornitore, qualora non ancora risolte, potrebbero consentire a un utente non autenticato di eseguire codice da remoto sui dispositivi interessati.
Indice degli argomenti
Cosa sappiamo sul ransomware Babuk
Babuk è un ransomware che può essere compilato per diverse piattaforme hardware e software (Windows e ARM per Linux sono le versioni compilate più utilizzate) e presenta come caratteristica peculiare quella di interrompere i processi di backup dei sistemi e di eliminare le copie shadow dei volumi, mentre procede a crittografare la macchina target.
A tal proposito, sebbene recentemente sia stato rilasciato un decryptor per Babuk, tale strumento risulterebbe inefficace per sbloccare i file interessati dalle varianti in oggetto. Se a questo si aggiunge che nello scorso settembre sono trapelati anche il codice sorgente di Babuk e un generatore di binari, incoraggiando nuovi attori malintenzionati a manipolare e distribuire il ransomware, c’è poco da restare tranquilli.
La catena d’infezione
La catena di infezione analizzata presenta, in particolare, un modulo di disimballaggio intermedio ospitato su un dominio “pastebin.pl” e, nelle quattro fasi individuate, utilizza dei processi legittimi per arginare i controlli di sicurezza.
Secondo la ricostruzione, l’infezione inizia nella prima fase con il caricamento di un payload malevolo, in formato .exe o .DLL, sui dispositivi target. In particolare il downloader DLL viene eseguito dal processo legittimo di lavoro IIS di Exchange denominato “w3wp.exe”.
Successivamente, nella seconda fase l’esecuzione, con argomenti offuscati, dell’utility legittima “Certutil.exe” (programma integrato di Windows per il download di certificati digitali) preleva dall’infrastruttura criminale (con URL ospitato sui domini fbi[.]fund e xxxs[.]info o l’indirizzo IP 185[.]219[.]52[.]229) la componente downloader “tortilla.exe” propedeutica per le fasi successive dell’infezione.
Quindi, il payload iniziale:
- nella terza fase (disimballagio intermedio) scarica, tramite “tortilla.exe” (eseguito via PowerShell per disabilitare eventuali meccanismi di controllo in esecuzione), un modulo “unpacker” il cui binario è archiviato come testo codificato in pastebin.pl;
- nella quarta e ultima fase decifra in memoria, tramite “unpacker”, alcune risorse .NET creando ed eseguendo il processo “AddInProcess32” nel quale risulta iniettato il payload finale del ransomware.
Attività del modulo ransomware di Babuk
Il modulo ransomware Babuk, una volta in esecuzione all’interno del processo AddInProcess32, procede a enumerare i processi in esecuzione sul server della vittima, tentando di disabilitare una serie di processi relativi ai prodotti di backup, come ad esempio il servizio di backup Veeam e a crittografare i file nel server della vittima aggiungendo l’estensione “.babyk” ai file crittografati attraverso l’impiego dell’algoritmo “AES-256-CTR” e il cifrario “ChaCha8”.
Babuk, inoltre, contiene anche l’elenco di nomi dei file e delle directory da escludere dal processo di crittografia allo scopo di mantenere in funzione il sistema interessato e consentire agli attaccanti ancora la comunicazione.
Il modulo payload, infine, crea un file di testo chiamato “How To Restore your Files.txt”, che contiene la nota del ricatto con la quale si intima alla vittima di pagare in criptovaluta Monero (XMR) l’equivalente di 10.000 dollari americani per ottenere la chiave di decrittazione e il recupero dei file crittografati.
Conclusioni
Nella maggior parte dei casi, tali tipi di attacchi potrebbero essere perlomeno mitigati intraprendendo alcune azioni di sicurezza per colmare ogni eventuale lacuna, oltre che integrando nella propria cultura aziendale la consapevolezza della sicurezza e delle buone pratiche:
- aggiornare periodicamente sistemi e applicazioni, secondo un piano di gestione delle patch;
- limitare gli accessi remoti e segmentare la rete tenendo separati e isolati i sistemi critici;
- monitorare gli eventi sospetti generati dai sistemi di rilevamento, quali le interruzioni improvvise dei servizi, l’eliminazione o modifiche di copie shadow e delle configurazioni di sistema;
- custodire adeguatamente le copie di sicurezza secondo adeguate strategie di backup, mantenendo almeno tre copie dei dati in due formati diversi con una copia offline preferibilmente posizionata fuori sede.
Si consiglia altresì agli amministratori IT di implementare sui propri apparati di sicurezza gli IoC resi disponibili dal CSIRT Italia e di consultare il rapporto tecnico completo pubblicato dagli analisti di Cisco Talos.