El ransomware Babuk, también conocido como Babuk Locker, apareció por primera vez a principios de 2021 y rápidamente se hizo conocido debido a sus efectivos métodos de ataque, afectando notablemente a sectores como la atención médica, telecomunicaciones, banca, finanzas, educación, gobierno e infraestructura crítica. Uno de los casos más destacados fue el ataque al departamento de salud de una reconocida multinacional británica donde los atacantes demandaron un rescate significativo para liberar los sistemas comprometidos.
Los operadores de Babuk siguieron métodos similares a otras familias de ransomware, filtrando los datos robados de algunas víctimas en la dark web y publicándolos en un foro propio. Además, utilizaban otros canales para conseguir afiliados y posibles actualizaciones del malware desde mercados clandestinos.
En septiembre de 2021, la filtración del código fuente de Babuk facilitó la aparición de nuevas variantes maliciosas como ESXiArgs y Babuk Tortilla, particularmente activas en Estados Unidos. Durante dos años, Cisco Talos llevó a cabo un análisis exhaustivo de la campaña Tortilla, en colaboración con las autoridades holandesas, lo que resultó en el arresto del ciberdelincuente principal. Este logro fue posible gracias a la inteligencia compartida entre organizaciones de ciberseguridad y autoridades, demostrando la efectividad de la cooperación interinstitucional.
Se descubrió que el actor de amenazas utilizaba una única clave privada para el cifrado de archivos, lo que permitió a Avast desarrollar una versión actualizada de su herramienta de descifrado, lanzada en enero de 2024. Esta herramienta unificó todas las claves privadas conocidas, ofreciendo una solución para las distintas variantes de Babuk, incluyendo Tortilla.
Babuk Tortilla operaba inicialmente bajo un modelo de Ransomware as a Service (RaaS), que proporcionaba a los afiliados una plataforma para realizar ataques de extorsión. Con el tiempo, los operadores de esta campaña optaron por un enfoque más directo, abandonando el programa de afiliación. Además de cifrar los archivos de las víctimas, publicaban datos robados en foros clandestinos para asegurar el pago del rescate. Para los pagos, preferían Monero sobre Bitcoin debido a su mayor anonimato.
Las técnicas de infección de Babuk Tortilla incluían correos electrónicos fraudulentos que engañaban a los usuarios para que hicieran clic en enlaces maliciosos o abrieran archivos adjuntos infectados. También explotaba vulnerabilidades en protocolos de escritorio remoto y en sistemas Windows. En particular, se aprovechaba de vulnerabilidades colectivamente conocidas como ProxyShell en servidores Microsoft Exchange, que proporcionaban acceso no autorizado y permitían la ejecución remota de código.
El ransomware utilizaba técnicas avanzadas para evadir la detección y dificultar la recuperación. Enumeraba y detenía procesos relacionados con copias de seguridad y sistemas antivirus, eliminaba copias de archivos y modificaba controles de seguridad para facilitar conexiones externas. Empleando un esquema de cifrado basado en AES-256 y ChaCha8, Babuk Tortilla renombraba los archivos con la extensión ‘.babyk’ y utilizaba un protocolo ECDH para las claves compartidas.
Para las víctimas de Babuk Tortilla, Avast ofrece una herramienta de descifrado que puede ayudar a recuperar los archivos cifrados si se cumplen ciertos requisitos. El procedimiento para utilizar esta herramienta implica seleccionar las unidades o directorios afectados y, opcionalmente, realizar un backup antes de iniciar el proceso de descifrado.
La persistencia y evolución del ransomware Babuk Tortilla subraya la necesidad de tomar medidas preventivas contundentes. Las copias de seguridad regulares, la implementación de herramientas de monitorización y respuesta a incidentes, y la colaboración entre equipos de TI son cruciales para mitigar los riesgos de ransomware y proteger los activos digitales. Además, es esencial educar a los empleados sobre las técnicas de ingeniería social para evitar ciberataques desde su origen.
