Tecnología

Generador de ransomware Babuk Locker filtrado utilizado en nuevos ataques

Patinar

Una herramienta filtrada utilizada por la operación Babuk Locker para crear ejecutables de ransomware personalizados ahora está siendo utilizada por otro actor de amenazas en una campaña muy activa dirigida a víctimas en todo el mundo.

Babuk Locker fue una operación de ransomware que se lanzó a principios de 2021 cuando comenzó a apuntar a víctimas corporativas y a robar sus datos en ataques de doble extorsión.

Después de realizar un ataque al Departamento de Policía Metropolitana (MPD) de Washinton DC y sentir la presión de la policía, la banda de ransomware cerró en abril y cambió a un modelo de extorsión de datos sin cifrar bajo el nombre PayLoad Bin.

Se filtró el constructor de Babuk Locker

La semana pasada, investigador de seguridad Kevin Beaumont descubrió que alguien cargó el generador de ransomware de la operación Babuk en VirusTotal.

Cuando Bleeping Computer probó el constructor, fue simplista generar un ransomware personalizado.

Todo lo que un actor de amenazas tiene que hacer es modificar la nota de rescate adjunta para incluir su propia información de contacto, y luego ejecutar el ejecutable de compilación para crear cifradores y descifradores de ransomware personalizados que se dirijan a Windows, VMware ESXi, Network Attached Storage (NAS) x86 y NAS Dispositivos ARM.

Usando el constructor para crear un ransomware Babuk personalizado
Usando el constructor para crear un ransomware Babuk personalizado
Fuente: BleepingComputer.com

Constructor de Babuk utilizado para lanzar nuevos ataques

Poco después de que el constructor se filtró online, un actor de amenazas comenzó a usarlo para lanzar una campaña de ransomware muy activa.

A partir del martes, una víctima informó en Reddit que fueron atacados por ransomware que se hacen llamar ‘Babuk Locker’.

Investigador de seguridad MalwareHunterEquipo También le dijo a BleepingComputer que ID Ransomware recibió un fuerte aumento en las presentaciones de Babuk Locker a partir del 29 de junio. Estas víctimas son de todo el mundo, y las notas de rescate enviadas contenían la dirección de correo electrónico del actor de la amenaza.

Un fuerte aumento en los envíos de Babuk Ransomware a ID Ransomware
Un fuerte aumento en los envíos de Babuk Ransomware a ID Ransomware

Al igual que la operación original, este ataque de ransomware agrega la .babyk extensión a los nombres de archivos cifrados y suelta una nota de rescate llamada Cómo restaurar su Files.txt.

Archivos cifrados por Babuk Locker
Archivos cifrados por Babuk Locker
Fuente: BleepingComputer

En comparación con la operación original de Babuk Ransomware que exigía cientos de miles, si no millones, de dólares para recuperar sus archivos, este nuevo actor de amenazas solo está pidiendo .006 bitcoins o aproximadamente $ 210 de sus víctimas.

Nota de ransomware del nuevo ataque de ransomware Babuk
Nota de rescate del nuevo ataque de ransomware Babuk
Fuente: BleepingComputer

Otro cambio notable es que la operación original de Babuk Locker utilizó un sitio de pago Tor dedicado que se usa para negociar con las víctimas. Sin embargo, los nuevos ataques utilizan el correo electrónico para comunicarse con las víctimas a través de una dirección de correo electrónico babukransom@tutanota.com.

No está claro cómo se distribuye el ransomware, pero hemos creado un tema de soporte dedicado a Babuk Locker que las víctimas pueden usar para compartir más información sobre el ataque.

Si alguien paga la demanda de rescate por esta nueva campaña de ransomware, háganoslo saber ya que nos gustaría hacerle algunas preguntas privadas.

Leave a Comment

You may also like

Más