Bambuk Locker… ¿Ya lo conoces?... Y ¿Saint Bot? ¡CUIDADO!

Babuk Locker es un nuevo ransomware que especialmente se dirige a las empresas.


Es catalogado como una amenaza superior, se especializa en infectar computadoras, celulares y tabletas. Tomando el control del equipo suele restringir el funcionamiento con cifrado fuerte lo que a su vez va atado a una solicitud de dinero a cambio del rescate (liberación).


Básicamente este esquema es similar al Diffie-Hellman de curva elíptica que se a demostrado su eficacia para lograr ataques a las empresas, sin embargo, no es elaborado como nivel alto de complejidad.


En el proceso utilizan líneas de comandos para manejar el ransomware dentro de la red, controlados por los comandos -lanfirst, -lansecond y -nolan.


Al cifrar los archivos, Babuk Locker utilizará una extensión codificada y la agregará a cada archivo cifrado. La extensión codificada utilizada para todas las víctimas hasta ahora es .__ NIST_K571__ . Que podrán observar en cada una de las carpetas infectadas y de igual forma contiene una nota llamada “How to restore your files.txt” que brinda un enlace a una pagina Tor donde se podría negociar para obtener el código de rescate “no pagar nunca”.


Hablemos de Saint Bot, este es un programa de descarga en formato ZIP que se distribuye mayormente por pishing con el objetivo de robar credenciales. Se hace pasar por una cartera bitcoin pero realmente es un script de PowerShell bajo camuflajeado por un acceso directo .LNK. Luego descarga un malware ejecutable de WindowsUpdate.exe que al mismo tiempo ejecuta un InstallUtil.exe y este se encarga de descargar otros dos ejecutables (def.exe y putty.exe).




(imagen cortesía de malwarebytes).


El primero es un script por lotes responsable de deshabilitar Windows Defender, putty.exe contiene la carga útil maliciosa que finalmente se conecta a un servidor de comando y control (C2) para su posterior explotación, con esto con solo saber que es capas de servir como vía de descarga para otros malware lo hace extremadamente peligroso.



Como hemos orientado anteriormente, aseguren sus copias de resguardo y máxime recursos (no necesariamente son económicos).


En WYBCIT creemos en la formula seguridad+manejo+efectividad= dormir tranquilo.


Gracias por ser parte de esta familia.













18 views0 comments

W-YBCIT

Globe_America_white.png