Nel mondo delle minacce informatiche, dominato da gruppi sempre più aggressivi e auto-promossi, emerge BabLock: un ransomware che, pur non facendo rumore mediatico come LockBit, Conti o REvil, rappresenta una minaccia concreta e insidiosa per organizzazioni in Europa, Medio Oriente e Asia.
Scoperto all’inizio del 2023 dagli analisti di Group-IB durante un’indagine su un attacco a un’azienda industriale europea, BabLock si distingue per un profilo qualitativamente diverso da quello delle famiglie malware più note. Gli specialisti di digital forensics hanno infatti identificato una serie di tecniche avanzate di evasione, insieme a un modus operandi “a basso profilo”, che ha permesso al gruppo di rimanere sotto il radar per mesi.
Una minaccia sofisticata
BabLock è stata attiva almeno dal giugno 2022, e il suo nome deriva dalla combinazione di elementi tecnici rilevati nel codice che ricordano famiglie ransomware esistenti — in particolare Babuk e LockBit — anche se non può essere considerata un semplice derivato di questi.
Contrariamente a molti gruppi ransomware moderni, BabLock non utilizza un sito pubblico per la diffusione dei dati rubati, né pratica forme di doppia estorsione (dati esfiltrati + cifratura). La comunicazione con le vittime avviene esclusivamente via email, e le richieste di riscatto sono “modeste” rispetto agli standard del settore: tra 50.000 e 1.000.000 USD circa, a seconda dell’organizzazione colpita.
Questa scelta operativa — insieme a una frequenza relativamente bassa di attacchi — ha permesso agli autori di evitare l’attenzione costante dei ricercatori di sicurezza, pur riuscendo a ottenere pagamenti e mantenere operativo il proprio impianto criminale.
Tecniche di attacco e compromissione della rete
La catena di compromissione di BabLock inizia spesso con l’exploit di vulnerabilità note: nel caso documentato da Group-IB, gli aggressori sono entrati attraverso una falla di Zimbra Collaboration Server (CVE-2022-41352) con punteggio di gravità 9,8/10, lasciata non patchata dal reparto IT della vittima.
Dopo il primo accesso, gli attaccanti hanno ottenuto connessione al domain controller via RDP utilizzando credenziali elevate, da cui hanno eseguito strumenti e payload per la propagazione interna e la cifratura di dati su più sistemi.
Architettura interna e tecniche di evasione
Il ransomware per Windows è scritto in C++ e utilizza DLL side-loading, una tecnica per aggirare i controlli di sicurezza caricando librerie malevole attraverso eseguibili apparentemente legittimi. Questo metodo — spesso associato ad APT e malware avanzati — aiuta BabLock a evitare il rilevamento da parte delle soluzioni antivirus tradizionali.
Ulteriori tecniche includono:
- Syscall diretti per chiamare funzioni di sistema bypassando alcune API di sicurezza.
- Offuscamento delle stringhe e delle funzioni per rendere difficile l’analisi automatizzata.
- Controllo di lingua di sistema: il ransomware si auto-disattiva se eseguito su sistemi configurati in lingue dell’Europa orientale o dell’area post-sovietica (ad es. russo, ucraino, armeno), un comportamento che suggerisce un’origine o un intento di evitare “problemi locali”.
Cifratura e comportamento post-compromissione
BabLock esegue una cifratura multithread:
- Su Windows, usa l’algoritmo HC-128 con chiavi derivate da uno scambio Diffie-Hellman su curva Curve25519.
- Su Linux e sistemi ESXi, sfrutta algoritmi come ChaCha20 o Sosemanuk, a seconda della variante.
I file cifrati vengono rinominati con un’estensione rigida, e in ogni cartella compromessa viene lasciato un file di testo _r_e_a_d_m_e.txt con istruzioni sui contatti per il pagamento.
BabLock non è un ransomware “da copertina”: non stampa pagine web di rivendicazioni né pubblica liste di vittime come fanno molti gruppi RaaS. Comunque, proprio questa discrezione potrebbe essere la sua forza: operando sporadicamente, con richieste relativamente contenute e tecniche evasive avanzate, BabLock riesce a infettare grandi reti enterprise con successo e rimanere difficile da analizzare per i team di sicurezza.
Come difendersi
✅ Patch tempestive per software esposti
✅ Monitoraggio continuo delle credenziali di dominio e accessi RDP
✅ Soluzioni EDR che riconoscano tecniche di DLL side-loading e syscall diretti
✅ Segmentazione delle reti per ridurre la diffusione laterale