Filtrado código fuente del ransomware Babuk

Uno de los desarrolladores del grupo de ransomware Babuk, un joven de 17 años de Rusia, ha sido diagnosticado con cáncer de pulmón en etapa 4. Ha decidido filtrar TODO el código fuente de Babuk para Windows, ESXI, NAS. 

•  El ransomware de Babuk atacó a principios de año la tienda de telefonía Phone House y el Departamento de Policía de Washington, así como el equipo de la NBA, los Houston Rockets
  
• Código fuente filtrado en sus repositorios. Están disponibles distintas versiones para ESXI, NAS y Windows.

Un presunto miembro del grupo publicó el código fuente completo del ransomware Babuk en un foro de piratería ruso. El autor de la publicación afirmó estar sufriendo una enfermedad terminal. Debido a eso decidió publicar los archivos sin ningún tipo de restricción para su descarga.

El grupo de investigación de seguridad vx-underground, un presunto miembro del grupo Babuk publicó el código fuente completo de su ransomware en un foro de habla rusa.

Este usuario afirmó estar sufriendo de cáncer terminal y decidió publicar todo el código fuente de Babuk mientras cumple su deseo de "vivir como un ser humano"

Las carpetas contienen varios proyectos de ransomware en Visual Studio para VMware ESXi,Windows  (en C++) y NAS (escrito en Golang). Además, como se menciona al principio, los archivos contienen el código fuente completo del cifrador y descifrador para sistemas operativos de Microsoft y, lo que parece ser un "keygen" de claves públicas y privadas.

Investigadores de la compañía de ciberseguridad Emsisoft y McAfee Enterprise han indicado que la filtración del ransomware Babuk parece legítima. Si bien los archivos pueden servir para descifrar los ordenadores de víctimas pasadas, también son un riesgo, ya que contienen todos los elementos necesarios para ejecutar ataques dirigidos.

En el pasado, precisamente, se filtró un generador de ransomware de Babuk en un sitio de descargas. Desafortunadamente este fue tomado por otro grupo de ciberdelincuentes que montó su propia operación de ataques. Estos cosecharon víctimas en distintas partes del mundo y las extorsionaron para no publicar sus archivos. 

De historias de traición y puñaladas por la espalda

Babuk Locker tiene una historia sórdida y pública de traiciones y puñaladas por la espalda que llevaron a la fragmentación del grupo.

Uno de los miembros de la banda de ransomware Babuk que el grupo se disolvió después del ataque al Departamento de Policía Metropolitana (MPD) en Washinton DC.

Tras el ataque, el "administrador" quiso divulgar los datos del MPD con fines publicitarios, mientras que los demás miembros de la pandilla se opusieron.

Después de la filtración de datos, el grupo se separó del administrador original formando el foro de ciberdelincuencia de Ramp y el resto mediante el lanzamiento de Babuk V2, donde continúan ejecutando ataques de ransomware.

Fuentes:

https://hipertextual.com/2021/09/se-filtra-el-proyecto-completo-y-el-codigo-fuente-del-peligroso-ransomware-babuk

https://www.bleepingcomputer.com/news/security/babuk-ransomwares-full-source-code-leaked-on-hacker-forum/