Cisco Talos relata nova variante do ransomware Babuk visando servidores Exchange

Um novo ator ruim chamado Tortilla está executando a campanha, e os usuários mais afetados estão nos EUA

Cisco Talos tem um aviso para as empresas dos EUA sobre uma nova variante do ransomware Babuk. Os pesquisadores de segurança descobriram a campanha em meados de outubro e acham que a variante está ativa desde julho de 2021. O novo elemento desse ataque é uma técnica incomum de cadeia de infecção.

Os pesquisadores de segurança Chetan Raghuprasad, Vanja Svajcer e Caitlin Huey descrevem a nova ameaça em uma postagem no blog da Talos Intelligence. Os pesquisadores acham que o vetor de infecção inicial é uma exploração das vulnerabilidades do ProxyShell no Microsoft Exchange Server por meio da implantação do shell da Web China Chopper.

Babuk pode afetar várias plataformas de hardware e software, mas esta versão é direcionada ao Windows. O ransomware criptografa a máquina do alvo, interrompe o processo de backup do sistema e exclui as cópias de sombra do volume.

VEJO: Como combater as ameaças de ransomware mais prevalentes

Segundo os pesquisadores, a cadeia de infecção funciona assim: um executável DLL ou .NET inicia o ataque ao sistema da vítima. A DLL é um assembly de modo misto. A versão executável .NET do er inicial é uma variante modificada do exploit EfsPotato com código para baixar e acionar o próximo estágio

O módulo de inicial no servidor de uma vítima executa um comando PowerShell incorporado e ofuscado para baixar um módulo de compactado. Este segundo módulo tem recursos .NET criptografados como imagens de bitmap. O comando do PowerShell também executa um desvio de AMSI para evitar a detecção de endpoint.

O módulo de compactado se conecta a uma URL em pastebin.pl (um site clone do PasteBin) que contém um módulo descompactador intermediário. O descompactador concatena as imagens de bitmap da seção de recursos do trojan e, em seguida, descriptografa a carga na memória. A carga útil é injetada no processo AddInProcess32 e criptografa os arquivos no servidor da vítima e em todas as unidades montadas. O post do Cisco Talos tem detalhes sobre cada fase e ferramenta do ataque.

A telemetria do Cisco Talos também sugere que a nova variante tenta explorar várias outras vulnerabilidades em outros produtos que geralmente acionam essas regras do Snort:

• Tentativa de falsificação de solicitação do lado do servidor de descoberta automática do Microsoft Exchange (57907)
• Tentativa de execução remota de código de injeção Atlassian Confluence OGNL (58094)
• Tentativa de execução remota de código do Apache Struts (39190, 39191)
• o ao WordPress wp-config.php via tentativa de agem de diretório (41420)
• Tentativa de ignorar a autenticação SolarWinds Orion (56916)
• Tentativa de execução de comando remoto do Oracle WebLogic Server (50020)
• Tentativa arbitrária de desserialização de objetos Java do Liferay (56800)

Os pesquisadores observam que o construtor Babuk e seu código-fonte vazaram em julho e que o ator do ransomware Tortilla está experimentando diferentes cargas úteis. Esse grupo tem “habilidades baixas a médias com uma compreensão decente dos conceitos de segurança e a capacidade de criar pequenas modificações em malware existente e ferramentas de segurança ofensivas”, de acordo com a postagem do blog.