▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Ransomware: il 2021 inizia con Babuk, il mago della crittografia

La nuova minaccia ransomware del 2021 si chiama Babuk e usa una tecnica crittografica spaventosamente complessa.

Business Vulnerabilità
I bizzarri nomi dei ransomware si arricchiscono di un nuovo esponente: Babuk Locker. Il nome fa sorridere ma quello che rappresenta non fa ridere: è candidato come il primo ransomware del 2021 destinato agli attacchi contro le aziende. Sotto il profilo generale non presenta grandi novità, ma Babuk fa tesoro delle ultime novità registrate nel 2020 e le mette in campo con grande abilità.

Una peculiarità di Babuk è la capacità di lavorare con o senza parametri della riga di comando. Significa che può eseguire i comandi impartiti, ma qualora non fosse fornito alcun parametro, agirebbe comunque con funzioni di base, crittografando i computer locali.

Inoltre si serve di tecniche quali la crittografia multithreading e l'abuso di Windows Restart Manager. Quest'ultima è una funzione messa in atto per la prima volta da Sodinokibi (noto anche come REvil), che integra l'API Windows Restart Manager nel decryptor per terminare tutti i processi attivi e poter così crittografare un maggiore numero di file.

La crittografia: un meccanismo perverso

La crittografia multithreading è l'altra caratteristica di Babuk, ed è decisamente complessa. Sfrutta tecniche quali la funzione di hash crittografico SHA256 (nota per ai più perché usata dal protocollo Bitcoin), ChaCha8 (variante del cifrario a flusso Salsa20) e un algoritmo di generazione e scambio di chiavi ECDH (Elliptic-curve Diffie-Hellman). 
crittografiaMediante la funzione RtlGenRandom, Babuk genera quattro buffer casuali, di cui due sono usati come chiavi ChaCha8, gli altri due come ChaCha8 nonce (ossia una chiave generata per un uso una tantum). Cifra la seconda chiave ChaCha8 utilizzando la prima chiave e quella nonce. Successivamente, la prima chiave viene cifrata utilizzando la seconda chiave crittografata e il nonce. Questa prima chiave crittografata viene trattata dal computer locale come chiave privata ECDH (Elliptic-curve Diffie-Hellman).

Babuk genera quindi una chiave pubblica ECDH dalla chiave privata, utilizzando un codice della libreria ECDH di Github. Ancora, genera uno shared secret utilizzando la chiave privata locale e la chiave pubblica hard-coded dell'autore. Per la cronaca, shared secret è un nome generico indicativo delle tecniche che distribuiscono un numero segreto (in questo caso una chiave di cifratura) a più parti, così che per ricostruire tale numero sia necessario l'apporto di tutte le parti coinvolte. 

Infine, lo shared secret passa attraverso un algoritmo di hash SHA256 che genera due chiavi ChaCha8, utilizzate per crittografare i file.

L'azione di Babuk

Subito dopo l'attivazione, Babuk chiude tutti i servizi e i processi attivi di Windows, oltre a database, server di posta, software di backup, client email, browser Web e altro. A questo punto inizia la cifratura, che aggiunge un'estensione personalizzata a ogni file crittografato.
babukLa richiesta di riscatto è contenuta in un file How_To_Restore_Your_Files.txt copiato in ciascuna cartella. Contiene informazioni di base su ciò che è accaduto, oltre a un collegamento a un sito Tor in cui la vittima può negoziare con gli operatori del ransomware.

A fronte del pagamento del riscatto la vittima deve inviare agli operatori ransowmare il file %AppData%ecdh_pub_k.bin, che contiene la chiave ECDH pubblica di cui necessitano i cyber criminali per generare il decryptor.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 08
Webinar Lexmark | XC9525: il nuovo standard della stampa professionale
Lug 08
Evento V-Valley Pure Storage 2025
Lug 08
Sales & Technical session Copilot for 365 – Italia Cloud Champion
Lug 08
Webinar: Scopri le Novità di Nutanix .NEXT 2025
Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security

Ultime notizie Tutto

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Escalation di privilegi su Linux per due falle critiche

Scoperte due vulnerabilità concatenate che permettono a un attaccante locale di ottenere privilegi root su Linux. Disponibili le patch e i consigli di mitigazione.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1