Babuk: ¿Despedida y cierre?

Durante las últimas semanas no hemos dejado de hablar de Babuk, un ransomware de origen supuestamente ruso, y que desde principios de año se ha mostrado como uno de los más activos y virulentos del ecosistema de la ciberdelincuencia. En España se hizo tremendamente popular hace algo menos de dos semanas, cuando hizo público su […]

La entrada Babuk: ¿Despedida y cierre? es original de MuySeguridad. Seguridad informática.

Durante las últimas semanas no hemos dejado de hablar de Babuk, un ransomware de origen supuestamente ruso, y que desde principios de año se ha mostrado como uno de los más activos y virulentos del ecosistema de la ciberdelincuencia. En España se hizo tremendamente popular hace algo menos de dos semanas, cuando hizo público su ataque a Phone House, el popular minorista de telefonía móvil que cuenta con más de 500 tiendas en nuestro país. Pocos días después, los operadores de Babuk decidieron hacer pública toda la información exfilrada.

Empezamos esta semana teniendo noticias del ataque del que había sido víctima el Departamento de Policía de Washington D.C., y en el que amenazaban con entregar información de confidentes a las bandas de delincuentes de la ciudad. Un día después los operadores de Babuk publicaron una nueva entrada en su blog, en la que urgían a su víctima a hablar con ellos para negociar el rescate. Y poco más de 24 horas después, ambas publicaciones desaparecieron, lo que suele ser señal, en este contexto, de que la víctima finalmente ha pagado el rescate o, al menos, ha llegado a algún tipo de acuerdo con los cibercriminales.

Todo esto entra dentro de la extraña normalidad del mundo del ransomware: «si pagas deja de quedar constancia explícita de lo que ha ocurrido, en caso contrario haré públicos todos los activos digitales que he logrado exfiltrar de tu infraestructura». En algunos casos, como el de Phone House, los datos se hacen públicos de manera universal, cualquier persona con una conexión a Internet puede hacerse con ellos gratuitamente; en otros, la información es comercializada en el mercado negro, reportando así beneficios económicos al grupo que los ha exfiltrado.

Así, tras la eliminación de las publicaciones sobre la Policía de Washington D.C., todo apuntaba a que no tardaríamos en saber sobre el próximo golpe asestado por Babuk, pero la sorpresa llegó cuando, en vez de información sobre nuevos ataques, durante unas horas se publicó una entrada (ahora ya eliminada) llamada Hello World 2. ¿Y por qué sorpresa? Porque en esa publicación Babuk anunciaba su abandono del sector de la extorsión y su intención de liberar el código fuente de su herramienta.

Babuk: ¿Despedida y cierre?

Mensaje «Hello World 2» del blog de Babuk (ahora eliminado). Imagen: Bleeping Computer.

En el mensaje, que pudo ser capturado por Bleeping Computer, vemos que en realidad existieron, al menos, dos versiones del mismo, y en ambos se habla de que el proyecto de Babuk ha cumplido su último objetivo, con el golpe al Departamento de Policía de Washington, y que tal y como se cierre el mismo (sea del modo que sea), el proyecto se dará por concluido. Algo que no se esperaba nadie, la verdad, y menos aún vista la fuerza con la que han estado golpeando estos últimos meses.

Sin embargo, junto con el anuncio del cierre del proyecto, que sería una excelente noticia de confirmarse, nos encontramos con la segunda parte, que resulta menos gratificante, y es que anuncian su intención de liberar el código de Babuk para crear, según sus propias palabras, un RaaS (Ransomware as a Service) de código abierto (como el aparentemente desaparecido Smaug), con el que cualquier persona con los conocimientos necesarios pueda tanto lanzar sus propios ataques como convertirse en proveedor de este tipo de servicios para terceros. Su objetivo, con esta liberación, sería acabar con el resto de RaaS existentes en la actualidad.

Los análisis técnicos efectuados hasta el momento indican que Babuk no es un malware muy complejo, pero pese a ello, apoyado en la gestión de las campañas, sí que se ha mostrado particularmente efectivo, con golpes a lo largo y ancho del mundo. Así, una herramienta como esta en manos de cualquier persona interesada en obtenerla suena, como mínimo, preocupante.

No obstante, la eliminación del mensaje nos deja con muchas dudas. ¿Realmente será el final de Babuk? ¿Podemos despedirnos del ransomware más activo de este 2021? ¿O quizá sus creadores han vuelto a hacer cuentas y han decidido mantener las operaciones durante más tiempo? Y aún así, si Babuk se despidiera en los próximos días o semanas, ¿qué planes tienen sus creadores? Es evidente que, con Babuk, han sumado experiencia y recursos económicos, por lo que no es descabellado pensar que ya estén trabajando en su próximo malware.

La entrada Babuk: ¿Despedida y cierre? es original de MuySeguridad. Seguridad informática.