Cabecera blog ciberseguridad

Las 4 lecciones que nos ha enseñado el código fuente de Babuk

El código fuente de Babuk ha proporcionado conclusiones llamativas a los expertos en ciberseguridad

El equipo de threat hunting de BlackArrow Tarlogic analiza el código fuente de Babuk para destripar cómo opera uno de los ransomware más activos del 2021

No es el de la ciberseguridad un mundo pródigo en regalos. Es lógico: toda filtración es, por definición, una señal de trabajo mal hecho. O de que algo no va bien. Seguramente por eso la liberación del código fuente de Babuk, uno de los ransomware más activos del 2021, ha generado una expectación inusitada.

En la última semana han corrido ríos de tinta tratando de descifrar las claves de un episodio rodeado de un cierto halo de misterio. La versión oficiosa sostiene que uno de los miembros del grupo sufrió una suerte de ataque de honestidad dada su situación médica: padece un cáncer terminal.

La enfermedad lo habría llevado a liberar el código fuente de Babuk en un foro ruso de hacking hospedado en la dark web. Hay, no obstante, una controversia creciente en algunos foros sobre la veracidad de esta historia.

Dudas alimentadas por los conflictos internos que ha vivido este grupo de ransom a lo largo de los últimos meses. Un grupo que en España alcanzó una gran notoriedad en abril pasado, cuando The Phone House se convirtió en una de sus numerosas víctimas al sufrir una grave fuga de datos.

Sea como fuere, la filtración ha puesto en bandeja a los investigadores un material de gran valor para descifrar cómo operan, y piensan, estos grupos.

Un material que no es muy común que llegue a sus manos. Conscientes de todo ello, el equipo de threat hunting de Tarlogic Security ha estudiado en detalle a lo largo de la última semana el código fuente de Babuk.

Eficacia de los ciberataques

Un trabajo que ha permitido extraer algunas lecciones de gran interés para el futuro. No solo para prevenir nuevos incidentes asociados a este ransomware. También para identificar técnicas usadas por este grupo para elevar la eficacia de sus ciberataques.

José Lancharro, director de BlackArrow, la división de servicios ofensivos y defensivos de Tarlogic Security, y José Miguel Gómez-Casero, manager de Threat Hunting de BlackArrow, han dirigido este análisis de alto nivel. Un esfuerzo que arroja algunas conclusiones llamativas.

La primera es el esfuerzo que hicieron los creadores de Babuk por diseñar un ransomware menos ruidoso. Lo explica muy gráficamente José Miguel: «Hay dos tipos de ransom, el típico que acapara toda la CPU y consume muchos recursos, y otros que hacen un esfuerzo por controlar los recursos que consumen para que no sea tan fácil rastrearlos».

Babuk es de estos últimos. Y lo hace de una forma un tanto ingeniosa. El código malicioso calcula los procesadores a su disposición una vez dentro de los sistemas atacados y estima los recursos a su disposición.

A continuación, decidirá cuánta CPU absorber para propagar el ataque, pero sin llegar a fagocitar todos los recursos. Una señal esta última que podría poner en alerta al equipo de sistemas.

Por debajo del umbral

«Cuando un ordenador consume muchos recursos, ahí tienes un indicio de que está pasando algo raro –precisa José Lancharro-. Este ransomware quiere pasar por debajo de ese umbral para no ser detectado».

Pero esa no es la única singularidad detectada en el código fuente de Babuk.

El manager de Threat Hunting de BlackArrow pone el foco en otro mecanismo adicional detectado en el ransom para elevar su eficacia: la incorporación de una rutina para detener procesos y servicios del sistema.

Con este mecanismo, el ransom logra detener todos los procesos y servicios recogidos en una lista previamente elaborada. Se trata de procesos muy comunes que los ordenadores lanzan o mantienen activados en muchas ocasiones en segundo plano: winword.exe, wordpad, Oracle…

Muchos de ellos, servicios relacionados con el antivirus o procesos de backup. Hay de hecho en Babuk una llamada a un comando que desactiva Shadow Copy, la aplicación de Windows para crear copias de seguridad o instantáneas de archivos, incluso cuando están en uso.

De esa forma, el ransomware no solo se procura una mayor dispersión por los sistemas de la víctima. También lastra la capacidad de contar con un backup para minimizar los eventuales daños.

Un factor de detección

Hay un tercer elemento en el código fuente de Babuk en el que reparan Lancharro y Gómez-Casero. En este caso, una particularidad que, a su juicio, facilitaría su detección si la empresa u entidad atacada cuenta con servicios avanzados de ciberseguridad.

Y es que Babuk es muy poco selectivo con los archivos y protocolos que cifra. En sus incursiones solo excluye de hecho tres extensiones: .exe, .dll y, obviamente, .babyk.

Esta forma de operar, sostienen desde BlackArrow, ralentiza la velocidad de penetración del ransom porque cifra mucha más información, incluida alguna que se podría considerar «poco valiosa».

«Se distrae cifrando cosas que no tienen demasiado valor. Y eso da margen al hunter a reaccionar antes de que se cifre información de valor», argumenta José Miguel.

Eso sí, matiza el director de BlackArrow, «si no lo detectas va a cifrar todo tipo de información, que aunque no toda tenga el mismo valor sí que podría ser de importancia en un proceso de análisis forense».

Babuk cifra incluso los archivos de logs, lo cual podría dificultar la investigación del episodio si el ransom se sale con la suya.

Necesidad de protegerse

En lo que coinciden ambos es en que la filtración del código fuente de Babuk ha puesto de manifiesto una vez más la necesidad de protegerse a la que se enfrentan empresas y organismos públicos.

Una necesidad cada día que pasa más perentoria. Servicios como los de threat hunting, red team, blue team, pentesting o hardening serán innegociables para toda clase de compañías y entidades.

Los actores hostiles «no siempre se reinventan, no siempre crean cosas nuevas, pero lo que hacen es casi siempre más rápido que las empresas», advierte Gómez-Casero.

Explica en este sentido José Lancharro que un buen servicio de threat hunting ha de estar basado en hipótesis de compromiso, por lo que ha de partir de un principio inquietante: «Que estamos comprometidos».

Será así, poniéndose en la piel del enemigo, destripando y anticipando sus técnicas y no solo siendo reactivos al ataque, como se optimizará su eficacia ante cualquier ataque.

Así es la ciberseguridad que viene…

Descubre nuestro trabajo y nuestros servicios de ciberseguridad en www.tarlogic.com/es/

En TarlogicTeo y en TarlogicMadrid.