Respuesta y recuperación frente al ransomware Babuk Tortilla

Elena Digital López

El ransomware Babuk, conocido también como Babuk Locker, surgió por primera vez a principios de 2021 y rápidamente ganó notoriedad por sus métodos de ataque y sus características, apuntando principalmente a organizaciones de atención médica, telecomunicaciones, banca, finanzas, educación, gobierno e infraestructura crítica. Un ejemplo notorio de su impacto fue el ataque al departamento de salud de una reconocida multinacional británica, a la que exigió un rescate significativo para liberar los sistemas afectados. Siguiendo los métodos operacionales de otras familias de ransomware, los operadores de Babuk actuaron filtrando datos robados de algunas de sus víctimas en la dark web donde disponían de un foro en el que publicaban estos datos. Además, se anunciaban en otros canales con el objetivo de conseguir afiliados y tratar posibles actualizaciones del malware desde mercados clandestinos.

En septiembre de 2021, la filtración del código fuente del ransomware Babuk marcó el inicio de una nueva ola de variantes maliciosas, entre las que destacaron ESXiArgs y Babuk Tortilla, causando un incremento significativo, especialmente en los Estados Unidos. Durante dos años, Cisco Talos se dedicó al análisis exhaustivo de la campaña Tortilla, un esfuerzo que, en colaboración con las autoridades holandesas, culminó en el arresto del ciberdelincuente responsable. Este avance clave fue posible gracias a la inteligencia de amenazas compartida, evidenciando, una vez más, la importancia de la cooperación entre entidades de ciberseguridad y las fuerzas del orden. La investigación reveló que el actor de amenaza utilizaba una única clave privada para el cifrado de archivos en todas sus operaciones. Este hallazgo se compartió con la empresa Avast, que previamente había desarrollado un descifrador para variantes antiguas de Babuk, que ayudó en la creación de una versión actualizada de su herramienta de descifrado. Lanzado en enero de 2024, el nuevo descifrador incorporó todas las claves privadas conocidas, ofreciendo una solución unificada para la recuperación de archivos afectados por las distintas variantes de Babuk, incluyendo la notoria Tortilla.

Motivación

El enfoque inicial de Babuk Tortilla se alineaba con el modelo de Ransomware as a Service (RaaS), proporcionando a los afiliados una plataforma para lanzar ataques de extorsión contra sus víctimas. Sin embargo, con el tiempo, los responsables de la campaña decidieron adoptar un enfoque más directo en sus operaciones de extorsión, abandonando el programa de afiliación.

Como parte de su estrategia de extorsión, los operadores de Tortilla no solo cifraban los archivos de las víctimas, sino que también recurrían a tácticas adicionales para incrementar la presión sobre ellas y asegurar el pago del rescate. Una de estas tácticas incluía la publicación de datos robados en foros clandestinos.

Para los pagos, los operadores de Tortilla preferían Monero sobre Bitcoin, esta preferencia de una criptomoneda más anónima subraya la creciente sofisticación de los grupos de ransomware en sus esfuerzos por evadir la detección y el seguimiento por parte de las autoridades y los investigadores de seguridad.

Infección y propagación

Babuk Tortilla empleaba una serie de vectores o técnicas de ataque habituales, entre los que destacaban los correos electrónicos fraudulentos. Estos correos estaban diseñados para engañar a los usuarios, incitándolos a hacer clic en enlaces maliciosos o abrir archivos adjuntos infectados que desencadenaban la descarga del malware.

También, explotaba vulnerabilidades en los protocolos de escritorio remoto y en el software o sistemas operativos Windows. Estas vulnerabilidades, cuando no estaban debidamente parcheadas, ofrecían a los ciberdelincuentes una puerta trasera para infiltrarse en los sistemas. El proceso de infección típico, observado en las principales muestras de Babuk Tortilla encontradas, se iniciaba con la explotación de las vulnerabilidades conocidas colectivamente como ProxyShell, las cuales afectaban a servidores de Microsoft Exchange:

– CVE-2021-34473: esta vulnerabilidad podría permitir a los atacantes evitar las listas de control de acceso (ACL) a través de una confusión en la ruta de autenticación que proporcionaba acceso no autorizado a las funciones internas del servidor.
– CVE-2021-34523: una vez dentro del sistema, esta vulnerabilidad de escalada de privilegios permitía al atacante obtener más control sobre el servidor, específicamente a través del backend de Exchange PowerShell.
– CVE-2021-31207: Con privilegios elevados, el atacante podía escribir archivos arbitrarios en el servidor, lo que podía conducir a la ejecución remota de código.

Una vez que las vulnerabilidades eran aprovechadas para obtener acceso al sistema, el actor de amenazas procedía con la siguiente fase, la descarga de los ficheros maliciosos necesarios para la ejecución del malware, lo cual solía realizarse mediante comandos ofuscados, ejecutados a través de PowerShell. El archivo descargado (tortilla.exe) actuaba como un cargador para el ransomware y, al ser ejecutado, hacía peticiones a una URL maliciosa, de donde se descargaba el payload incrustado en un fichero, como podría ser una imagen manipulada para contener el código malicioso. Finalmente, desempaquetaba el programa de cifrado y comenzaba el proceso de cifrado de los archivos en el sistema infectado.

Evasión de la detección y la recuperación

Para evadir los mecanismos de detección, el malware:

– Enumeraba los procesos: identificaba los procesos en ejecución, analizándolos para seleccionar aquellos que podían interferir con su funcionamiento o impedir su éxito. Esta fase era esencial para mapear el entorno operativo y preparar el terreno para acciones subsecuentes.
– Detenía procesos relacionados con las copias de seguridad o el respaldo de archivos, así como los sistemas antivirus del entorno. Esta acción tenía como objetivo eliminar barreras que pudieran obstaculizar la infección o facilitar la recuperación de los archivos afectados.
– Enumeraba recursos compartidos dentro de la red, lo que permitía una mayor propagación del ransomware y ampliaba significativamente su impacto en la infraestructura de la organización afectada.
– Eliminaba copias de archivos para asegurar que no hubiera posibilidad de recuperación sin el pago del rescate, aumentando la presión sobre las víctimas para cumplir con las demandas de los atacantes.
– Eludía los mecanismos de control para facilitar conexiones externas durante su ejecución. El ransomware modificaba controles de seguridad, instalando certificados que permitían eludir advertencias de seguridad al conectar con servidores o URL potencialmente bloqueados o en listas negras.

Cifrado

Babuk Tortilla utilizaba un esquema de cifrado basado en AES-256 combinado con ChaCha8 para la cifrado de los datos, que eran renombrados con la extensión ‘.babyk’. Por otra parte, se usaba un protocolo ECDH para las claves compartidas. El ransomware hacia uso del directorio AppData, donde alojaba un archivo ‘.bin’ que contenía la clave privada local utilizada para cifrar los archivos del sistema.

Paralelamente, el malware creaba en cada una de las carpetas un fichero de texto bajo el título ‘How To Restore Your Files.txt’ que contenía los pasos a seguir por la víctima para recuperar sus datos.

Respuesta y desinfección

Como se ha mencionado, Babuk Tortilla aprovechaba las vulnerabilidades asociadas a ProxyShell para la ejecución de código remoto en servidores de Microsoft Exchange, por lo que se hace fundamental implementar los parches de seguridad del producto ofrecidos por Microsoft para las vulnerabilidades anteriormente mencionadas.

En el caso de haber sido infectado por cualquier variante de Babuk, incluida Tortilla, se dispone de la herramienta de descifrado de Avast. A pesar de que los procesos de descifrado no siempre son satisfactorios, estos descifradores ofrecen la posibilidad de descifrar los datos robados y recuperar los archivos si se cumplen ciertos requisitos.

A continuación, se describe el proceso de descifrado mediante el descifrador de Avast. Hay que tener en cuenta que existe una diferencia entre v.1.0.0.705, la única versión alojada en el servidor de Avast (replicada en nomoreransom.org), y las instrucciones proporcionadas en el manual de instrucciones, v.1.0.52). Este artículo describe el procedimiento siguiendo la ejecución de la versión disponible (v.1.0.0.705).

Una vez hemos descargado la versión correspondiente de Avast para Babuk, iniciamos el programa. En la primera ventana tenemos la información de la licencia. Hacemos clic en Siguiente.
A continuación, seleccionamos la/s unidad/es que contienen datos cifrados. También se puede seleccionar un directorio en concreto desde “Add Folder …”. Hacemos clic en Siguiente.

Una vez seleccionadas las unidades o directorios, en la siguiente ventana tenemos la opción de realizar un backup de los datos cifrados, de tal forma que nos permitirá reiniciar el proceso en caso de que surja algún problema.

Finalmente, comenzará el proceso de descifrado de los archivos que hará que vuelvan a estar accesibles.

Conclusiones

La actividad del ransomware Babuk Tortilla, cuyo auge alarmó a organizaciones globales por su capacidad de extorsión mediante el cifrado de archivos críticos, fue finalmente interrumpida. Evolucionado a partir del código fuente de Babuk, aprovechó principalmente la explotación de vulnerabilidades críticas, como ProxyShell en servidores Microsoft Exchange, y demostró la capacidad de los actores de amenaza para infiltrarse en las organizaciones.

El caso de este ransomware nos recuerda la necesidad de implementar medidas preventivas robustas. La realización de copias de seguridad periódicas se debe priorizar como una estrategia fundamental. Además, la incorporación de herramientas de monitorización y respuesta a incidentes, como las soluciones XDR (Extended Detection and Response), ayuda en la detección temprana y en la respuesta efectiva ante actividades maliciosas.

La colaboración entre equipos de TI, el compromiso con prácticas de ciberseguridad actualizadas y la implementación de una infraestructura de seguridad avanzada, son fundamentales para mitigar el riesgo de ransomware y proteger los activos digitales críticos, sin olvidarnos de las labores de formación y concienciación, que ayudarán a los empleados a evitar caer en las técnicas de ingeniería social utilizadas por los ciberdelincuentes para obtener el acceso inicial a nuestros sistemas.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation). vía: INCIBE

Scroll al inicio