Código fuente completo de Babuk ransomware se filtró en un foro

Un actor de amenazas ha filtrado el código fuente completo del ransomware Babuk en un foro de piratería de habla rusa.

Babuk Locker, también conocido internamente como Babyk, es una operación de ransomware  lanzada a principios de 2021  cuando comenzó a apuntar a empresas para robar y cifrar sus datos en ataques de doble extorsión.

Después de  atacar al Departamento de Policía Metropolitana  (MPD) de Washinton DC y sentir el calor de las fuerzas del orden público de EE. UU., La banda de ransomware afirmó haber cerrado su operación.

Sin embargo, los miembros del mismo grupo se dividieron para relanzar el ransomware como Babuk V2, donde continúan encriptando a las víctimas hasta el día de hoy.

Código fuente publicado en un foro de piratería
Como lo advirtió por primera vez el grupo de investigación de seguridad  vx-underground , un presunto miembro del grupo Babuk publicó el código fuente completo de su ransomware en un popular foro de piratería de habla rusa.

Este miembro afirmó estar sufriendo un cáncer terminal y decidió publicar el código fuente mientras tienen que "vivir como un ser humano".



Como la filtración contiene todo lo que un actor de amenazas necesita para crear un ejecutable de ransomware funcional, BleepingComputer ha redactado los enlaces al código fuente.

El archivo compartido contiene diferentes proyectos de ransomware de Visual Studio Babuk para los cifradores VMware ESXi, NAS y Windows, como se muestra a continuación.


La carpeta de Windows contiene el código fuente completo para el cifrador, descifrador de Windows y lo que parece ser un generador de claves públicas y privadas.


Por ejemplo, el código fuente para la rutina de cifrado en el cifrador de Windows se puede ver a continuación.


El CTO de Emsisoft y el experto en ransomware  Fabian Wosar  y los investigadores de McAfee Enterprise le han dicho a BleepingComputer que la filtración parece legítima. Wosar también declaró que la filtración puede contener claves de descifrado para víctimas pasadas.

El ransomware Babuk utiliza criptografía de curva elíptica (ECC) como parte de su rutina de cifrado. En la filtración se incluyen carpetas que contienen cifradores y descifradores compilados para víctimas específicas de la banda de ransomware.

Wosar le dijo a BleepingComputer que estas carpetas también contienen archivos de curvas que podrían ser las claves de descifrado ECC para estas víctimas, pero esto aún no se ha confirmado.


En total, hay 15 carpetas con archivos de curvas que contienen posibles claves de descifrado.

De cuentos de traición y puñaladas por la espalda

Babuk Locker tiene una historia sórdida y pública que involucró traición y puñaladas por la espalda que llevaron a la división del grupo.

BleepingComputer se enteró por uno de los miembros de la pandilla de ransomware Babuk que el grupo se dividió después del ataque al Departamento de Policía Metropolitana (MPD) de Washinton DC .

Después del ataque, el 'administrador' supuestamente quería filtrar los datos del MPD para publicidad, mientras que los otros pandilleros estaban en contra.

"No somos buenos chicos, pero incluso para nosotros fue demasiado.)" - Actor de amenazas de Babuk

Después de la fuga de datos, el grupo se dividió con el administrador original formando el foro de ciberdelitos de Ramp y el resto lanzando Babuk V2, donde continúan realizando ataques de ransomware.

Poco después de que el administrador lanzara el foro de delitos informáticos Ramp, sufrió una serie de ataques DDoS que inutilizaron el nuevo sitio. El administrador culpó a sus antiguos socios por estos ataques, mientras que el equipo de Babuk V2 le dijo a BleepingComputer que no eran responsables.

Citar"Nos olvidamos por completo del antiguo administrador. No estamos interesados ​​en su foro", dijeron los actores de amenazas a BleepingComputer.

Para aumentar la controversia del grupo, se filtró un  generador de ransomware Babuk  en un sitio de intercambio de archivos y otro grupo lo utilizó para lanzar su propia operación de ransomware.

Parece que Babuk no está solo con historias de traiciones y puñaladas por la espalda.

Después de que Wosar configurara una cuenta de Jabber para que los actores de amenazas lo contactaran, tuiteó que recibió información de los actores de amenazas que se sienten "perjudicados" por sus socios y decidió filtrar información en venganza.


Wosar le ha dicho a BleepingComputer que ha podido utilizar esta inteligencia para prevenir ataques continuos de ransomware.

Actualización 9/3/21: McAfee Enterprise también confirmó que el código fuente es legítimo.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta