SécuritéTech

Le code source complet du ransomware Babuk divulgué sur un forum de hackers

Un acteur malveillant a divulgué le code source complet du ransomware Babuk sur un forum de piratage russophone.

Babuk Locker, également connu en interne sous le nom de Babyk, est une opération de ransomware  lancée au début de 2021  lorsqu’elle a commencé à cibler les entreprises pour voler et crypter leurs données dans le cadre d’attaques à double extorsion.

Après avoir  attaqué le département de police métropolitain  (MPD) de Washington DC et avoir ressenti la pression des forces de l’ordre américaines, le gang de ransomware a affirmé avoir mis fin à ses opérations.

Cependant, les membres du même groupe se sont séparés pour relancer le ransomware sous le nom de Babuk V2, où ils continuent à crypter les victimes à ce jour.

Code source publié sur un forum de piratage

Comme l’a remarqué pour la première fois le groupe de recherche en sécurité  vx-underground , un membre présumé du groupe Babuk a publié le code source complet de son ransomware sur un forum de piratage russophone populaire.

Ce membre a prétendu être atteint d’un cancer en phase terminale et a décidé de publier le code source alors qu’il devait “vivre comme un humain”.

Un message de forum traduit sur un forum de piratage
Un message de forum traduit sur un forum de piratage
Message original en russe
Message original en russe

Comme la fuite contient tout ce dont un acteur malveillant a besoin pour créer un exécutable de ransomware fonctionnel, BleepingComputer a rédigé les liens vers le code source.

Le fichier partagé contient différents projets de ransomware Visual Studio Babuk pour les chiffreurs VMware ESXi, NAS et Windows, comme indiqué ci-dessous.

Code source du ransomware ESXi, NAS et Windows Babuk
Code source du ransomware ESXi, NAS et Windows Babuk

Le dossier Windows contient le code source complet du crypteur, du décrypteur Windows et ce qui semble être un générateur de clé privée et publique.

Code source du chiffreur Babuk Windows
Code source du chiffreur Babuk Windows

Par exemple, le code source de la routine de chiffrement dans le chiffreur Windows est visible ci-dessous.

Code source de la routine de chiffrement Babuk
Code source de la routine de chiffrement Babuk

Le CTO d’Emsisoft et l’expert en ransomware  Fabian Wosar  et les chercheurs de McAfee Enterprise ont tous deux déclaré à BleepingComputer que la fuite semble légitime. Wosar a également déclaré que la fuite pourrait contenir des clés de déchiffrement pour les anciennes victimes.

Le ransomware Babuk utilise la cryptographie à courbe elliptique (ECC) dans le cadre de sa routine de cryptage. La fuite comprend des dossiers contenant des crypteurs et des décrypteurs compilés pour des victimes spécifiques du gang des ransomwares.

Wosar a déclaré à BleepingComputer que ces dossiers contiennent également des fichiers courbes qui pourraient être les clés de déchiffrement ECC pour ces victimes, mais cela n’a pas encore été confirmé.

Fichier de courbe ECC pour la victime de Babuk
Fichier de courbe ECC pour la victime de Babuk

Au total, il y a 15 dossiers avec des fichiers courbes contenant des clés de décryptage possibles.

Des histoires de trahison et de coups de poignard dans le dos

Babuk Locker a une histoire sordide et publique impliquant des trahisons et des coups de poignard dans le dos qui ont conduit à la scission du groupe.

BleepingComputer a appris de l’un des membres du gang de ransomware Babuk que le groupe s’était séparé après l’ attaque contre le département de police métropolitain (MPD) de Washington DC .

Après l’attaque, l’« administrateur » aurait voulu divulguer les données du MPD à des fins publicitaires, tandis que les autres membres du gang s’y étaient opposés. 

“Nous ne sommes pas de bons gars, mais même pour nous, c’était trop.)” – Acteur de menace Babuk

Après la fuite de données, le groupe s’est séparé de l’administrateur d’origine pour former le forum de cybercriminalité Ramp et les autres ont lancé Babuk V2, où ils continuent de lancer des attaques de ransomware.

Peu de temps après que l’administrateur a lancé le forum sur la cybercriminalité Ramp, il a subi une série d’attaques DDoS pour rendre le nouveau site inutilisable. L’administrateur a blâmé ses anciens partenaires pour ces attaques, tandis que l’équipe Babuk V2 a déclaré à BleepingComputer qu’ils n’étaient pas responsables.

“Nous avons complètement oublié l’ancien administrateur. Nous ne sommes pas intéressés par son forum”, ont déclaré les acteurs de la menace à BleepingComputer.

Pour ajouter à la controverse du groupe, un  constructeur de ransomware Babuk a été divulgué  sur un site de partage de fichiers et a été utilisé par un autre groupe pour lancer sa propre opération de ransomware.

Il semble que Babuk ne soit pas le seul à avoir des histoires de coups de poignard dans le dos et de trahisons.

Après que Wosar ait créé un compte Jabber pour que les acteurs de la menace le contactent, il a tweeté qu’il avait reçu des informations d’acteurs de la menace qui se sentaient « lésés » par leurs partenaires et a décidé de divulguer des informations pour se venger.

Wosar a déclaré à BleepingComputer qu’il avait pu utiliser cette intelligence pour empêcher les attaques de ransomware en cours.

Mise à jour 9/3/21 : McAfee Enterprise a également confirmé que le code source est légitime.

Leave your vote

Afficher plus

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page

Log In

Forgot password?

Forgot password?

Enter your account data and we will send you a link to reset your password.

Your password reset link appears to be invalid or expired.

Log in

Privacy Policy

Add to Collection

No Collections

Here you'll find all collections you've created before.