Ciberseguridad

Así opera Termite, la nueva banda de ransomware tras el ataque a Blue Yonder

Los investigadores sospechan que se trata de una nueva cepa del notorio ransomware Babuk.

Periodista

2 minutos

grupo de ransomware Termite

El mes pasado la plataforma de gestión de la cadena de suministro Blue Yonder sufrió un ciberataque de ransomware que afectó a algunos gigantes empresariales, como la cadena de cafeterías Starbucks o algunos conocidos supermercados de Reino Unido

La empresa de software tiene una investigación abierta y sigue trabajando para restaurar las operaciones de sus clientes y recuperar su normalidad

Según explica Blue Yonder en su página web, un "tercero no autorizado" afirmó haber "tomado cierta información" de sus sistemas. 

Este 'tercero' no es otro que el grupo de ransomware Termite. Se trata de un actor de amenazas prácticamente nuevo del que no se había escuchado demasiado hasta la fecha. 

¿Un viejo conocido?

Los investigadores de Cyble han analizado esta nueva cepa de ransomware y afirman que se trataría de una nueva versión del conocido ransomware Babuk. Ambos serían muy parecidos.

Después de ejecutarse, el ransomware invoca la API SetProcessShutdownParameters(0, 0) “para garantizar que su proceso sea uno de los últimos en finalizar durante el apagado del sistema”, dijo Cyble. “Esta táctica se utiliza para maximizar el tiempo disponible para que el ransomware complete su proceso de cifrado”.

Posteriormente, este ransomware heredero de Babuk concluye los servicios en la máquina víctima para evitar interrupciones durante el proceso de cifrado y finaliza los procesos de backup si también están ejecutándose. 

El malware imposibilita la recuperación del sistema tras haber cifrado los archivos y, además, vacía la papelera de reciclaje para evitar que los archivos que se encuentren allí sean recuperados, se hace eco The Cyber Express. 

Tras dejar la consiguiente nota de rescate el malware cifra los archivos en la máquina de la víctima y agrega la extensión .termite

Por otro lado, entre los superpoderes de Termite se encuentran el localizar recursos compartidos de red y recuperar información sobre recursos compartidos en su servidor, así como identificar unidades de red conectadas a la máquina infectada y cifrar los archivos. 

Hasta el momento este grupo de reciente creación habría causado siete víctimas. Dos de ellas están en EE.UU, dos en Francia, una en Omán, otra en Alemania y una última en Canadá. 

"La aparición de Termite subraya la necesidad crítica de medidas de ciberseguridad sólidas, inteligencia de amenazas proactiva y estrategias de respuesta a incidentes para contrarrestar las tácticas en evolución de los grupos de ransomware", han agregado los investigadores.

A principios del año pasado también se encontró otra cepa de Babuk, en este caso denominada 'Tortilla'.