Una de las principales tareas del laboratorio de investigación de Emsisoft es realizar un seguimiento de las nuevas familias de ransomware. Nuestro principal objetivo es siempre encontrar fallas y debilidades que nos permitan descifrar los archivos de las víctimas sin que ellos tengan que pagar a los actores de amenazas que operan el ransomware, pero como parte de nuestra investigación, a menudo somos una de las primeras personas en aprender sobre errores graves en familias de ransomware en general.

En este caso particular, encontramos un problema grave dentro de la variedad de ransomware Babuk que se dirige a Linux y más específicamente a los servidores ESXi. ESXi es una plataforma de virtualización popular ofrecida por VMware. Las plataformas de virtualización como ESXi se han convertido en un objetivo muy lucrativo para muchos grupos de ransomware, como Defray / RansomExx, Darkside y, desde hace poco, también Babuk.

Babuk ha sido relativamente nuevo en el salvaje oeste, que es el panorama actual de amenazas de ransomware. Aparecieron por primera vez a principios de 2021 y, como la mayoría de las bandas de ransomware, se centraron inicialmente exclusivamente en cifrar los sistemas Windows. Sin embargo, durante los últimos meses, desarrollaron rápidamente su plataforma para saltar a la creciente tendencia de atacar también sistemas basados ​​en Linux como ESXi.

Desafortunadamente, la velocidad a la que desarrollaron su plataforma se produjo a costa de la calidad. Como resultado, existen múltiples fallas de diseño fundamentales dentro de las partes de cifrado y descifrado de Babuk en ESXi, que pueden conducir a una pérdida de datos grave e irreparable.

Uno de los errores del ransomware Babuk real en ESXi es que los archivos se pueden cifrar varias veces. Múltiples capas de cifrado son una molestia, pero en última instancia solo significan que con un poco de esfuerzo manual una víctima aún puede descifrar sus datos simplemente descifrando los datos rescatados una y otra vez hasta que se hayan eliminado todas las capas de cifrado.

El segundo error hará que Babuk solo cambie el nombre de los archivos en un servidor ESXi, pero no los cifre. Esto no sería un gran problema si no fuera por el hecho de que el descifrador proporcionado por los actores de amenazas de Babuk no tiene precauciones para detectar si un archivo con la extensión * .babyk está realmente encriptado o no. “Desencriptará” ciegamente estos archivos no encriptados y los destruirá en el proceso.

Errores como este dentro del ransomware son desafortunadamente cada vez más comunes y son una de las razones por las que ofrecemos nuestra experiencia en ransomware a cualquier víctima de ransomware en forma de nuestros Servicios de recuperación de ransomware, donde ofrecemos una evaluación gratuita de su caso específico para llevar posibles errores y problemas que pueden obstaculizar la recuperación exitosa de su atención, y también proporcionar soluciones y soluciones alternativas en forma de nuestras propias herramientas de recuperación superiores por una tarifa de precio fijo.

Por último, pero no menos importante, queremos enfatizar una vez más lo importante que es crear copias de seguridad o instantáneas de sus datos cifrados primero, antes de ejecutar cualquier tipo de herramienta de descifrado sin importar cuál sea su origen. Sin ninguna de esas medidas de seguridad implementadas, cualquier pequeño error o cualquier problema operativo breve puede provocar una pérdida grave e irrecuperable de sus datos. Entendemos que después de un tiempo de inactividad prolongado que sigue inevitablemente a cualquier ataque de ransomware, existe una inmensa presión para que los sistemas vuelvan a funcionar lo antes posible. Pero es importante no ceder a esa presión y tirar por la borda todas las medidas de seguridad y precaución. Tanto la supervivencia de su empresa como la de sus datos pueden depender de ellos.

#babuk #ESXi #Linux #Winsows #ransomware