Hace unos días atrás, un actor de amenaza ha filtrado el todo el código fuente, usando por la banda de ransomware Babuk, atraves de un enlace de descarga en un foro de ciberdelincuentes de habla rusa. Alegando como intención el «vivir como un ser humano».
Babuk Locker (también conocidos internamente como Babyk) es una banda de ransomware que fue identificada a principios de 2021, cuando realización las primeras publicaciones de sus ataques a empresas de diferentes rubros para el robo de activos digitales y cifrarlos para solicitar un rescate y el silencio de los mismos.
La banda Babuk se encuentra actualmente separada, después de haber atacado al Departamento de Policía Metropolitana de Washington DC (MPD) y de sentir la presión de las fuerzas del orden de Estados Unidos, tras ese ataque, la banda «finalizo» sus operaciones. Pero, los miembros del mismo se unieron para relanzar sus operaciones bajo el nombre de Babuk V2.
Tal y como ha advertido por primera vez el grupo de investigación de seguridad vx-underground, un supuesto miembro del grupo Babuk ha publicado el código fuente de su ransomware en un popular foro de cibercriminales de habla rusa.
Este miembro afirmó estar sufriendo un cáncer terminal y decidió liberar el código fuente mientras tiene que «vivir como un ser humano».
El archivo compartido por este supuesto miembro, contiene diferentes proyectos de ransomware en Visual Studio, separados en 3 carpetas para cada tipo de ataque, entre las cuales estan VMware ESXi, NAS y Windows, como se muestra a continuación.
El director de tecnología de Emsisoft y experto en ransomware, Fabian Wosar, y los investigadores de McAfee Enterprise,han declarado que la filtración parece legítima. Wosar también afirmó que la filtración podría contener las claves de descifrado para víctimas anteriores de esta banda.
Desde un punto de vista investigativo, gracias a esta filtración, cientos de expertos al rededor del mundo podrán ver como funciona más en detalle este Ransomware. Pero, también puede ser usado para realizar nuevas mutaciones de la misma, generando dentro de los próximos meses nuevas bandas de ransomwares.
Las traiciones entre los miembros y/o afiliados de Ransomwares no es algo nuevo, es algo que siempre ha estado presente. Tomando más notoriedad cuando un afiliado de Coti Ransomware se quejo públicamente de sus jefes por los bajos pagos que estaban recibiendo, y como acto de «protesta» libero en un foro de cibercriminales, un archivo comprimido donde hay documentación de capacitación y modus operandi de la banda de ransomware para los afiliados.
¿Cuál será la próxima banda de Ransomware en caer por la culpa de sus propios miembros y/o afiliados?
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
