Le code source complet du ransomware Babuk divulgué sur un forum de hackers

0

Un pirate informatique a divulgué le code source complet du ransomware Babuk sur un forum de piratage russophone.

Babuk Locker, également connu en interne sous le nom de Babyk, est une opération de ransomware lancée au début de 2021 lorsqu’elle a commencé à cibler les entreprises pour voler et chiffrer leurs données lors d’attaques à double extorsion.

Après avoir attaqué le Metropolitan Police Department (MPD) de Washington DC et avoir ressenti la pression des forces de l’ordre américaines, le gang de ransomware a affirmé avoir mis fin à ses opérations.

Cependant, les membres du même groupe se sont séparés pour relancer le ransomware sous le nom de Babuk V2, où ils continuent à chiffrer les victimes à ce jour.

Code source publié sur un forum de piratage

Comme l’a remarqué pour la première fois le groupe de recherche en sécurité vx-underground, un membre présumé du groupe Babuk a publié le code source complet du ransomware sur un forum de piratage russophone populaire.

Ce membre a prétendu être atteint d’un cancer en phase terminale et a décidé de publier le code source alors qu’il devait « vivre comme un humain ».

Comme la fuite contient tout ce dont un acteur malveillant a besoin pour créer un exécutable de ransomware fonctionnel, nous avons rédigé les liens vers le code source.

Le fichier partagé contient différents projets Visual Studio du ransomware Babuk pour des chiffreurs de VMware ESXi, NAS et Windows, comme indiqué ci-dessous.

source code root folder s
Code source du ransomware Babuk pour ESXi, NAS et Windows

Le dossier Windows contient le code source complet du chiffreur, du déchiffreur Windows et ce qui semble être un générateur de clé privée et publique.

babuk windows
Code source du chiffreur Babuk sur Windows

Par exemple, le code source de la routine de chiffrement dans le chiffreur Windows est visible ci-dessous.

sourc code encryption
Code source de la routine de chiffrement Babuk

Le directeur technique d’Emsisoft et l’expert en ransomware Fabian Wosar et les chercheurs de McAfee Enterprise ont tous deux déclaré que la fuite semble légitime. Wosar a également déclaré que la fuite pourrait contenir des clés de déchiffrement pour les anciennes victimes.

Le ransomware Babuk utilise la cryptographie à courbe elliptique (ECC) dans le cadre de sa routine de chiffrement. La fuite inclut des dossiers contenant des chiffreurs et des déchiffreurs compilés pour des victimes spécifiques du gang de ransomware.

Wosar a déclaré que ces dossiers contiennent également des fichiers courbes qui pourraient être les clés de déchiffrement ECC pour ces victimes, mais cela n’a pas encore été confirmé.

curve key
Fichier de courbe ECC pour la victime de Babuk

Au total, il y a 15 dossiers avec des fichiers courbes contenant des clés de décryptage possibles.

Des histoires de trahison et de coups de poignard dans le dos

Babuk Locker a une histoire sordide et publique impliquant des trahisons et des coups de poignard dans le dos qui ont conduit à la scission du groupe.

L’un des membres du gang de ransomware Babuk que le groupe s’était séparé après l’attaque contre le département de police métropolitain (MPD) de Washington DC.

Après l’attaque, « l’administrateur » aurait voulu divulguer les données du MPD à des fins publicitaires, tandis que les autres membres du gang s’y étaient opposés.

« Nous ne sommes pas de bons gars, mais même pour nous, c’était trop.) » – Babuk

Après la fuite de données, le groupe s’est séparé de l’administrateur d’origine pour former le forum de cybercriminalité Ramp et les autres ont lancé Babuk V2, où ils continuent de lancer des attaques de ransomware.

Peu de temps après que l’administrateur a lancé le forum de cybercrimes Ramp, il a subi une série d’attaques de déni de service distribué pour rendre le nouveau site inutilisable. L’administrateur a blâmé ses anciens partenaires pour ces attaques, tandis que l’équipe Babuk V2 a déclaré qu’ils n’étaient pas responsables.

« Nous avons complètement oublié l’ancien administrateur. Nous ne sommes pas intéressés par son forum », ont déclaré les pirates informatiques.

Pour ajouter à la controverse du groupe, un constructeur du ransomware Babuk a été divulgué sur un site de partage de fichiers et a été utilisé par un autre groupe pour lancer sa propre opération de ransomware.

Il semble que Babuk ne soit pas le seul à avoir des histoires de coups de poignard dans le dos et de trahisons.

Après que Wosar ait créé un compte Jabber pour que les pirates informatiques le contactent, il a tweeté qu’il avait reçu des informations de pirates informatiques qui se sentaient « lésés » par leurs partenaires et a décidé de divulguer des informations par vengeance.

Laisser un commentaire