Le ransomware Babuk est de retour avec une nouvelle version

0

Après avoir annoncé leur sortie du marché des ransomwares au profit de l’extorsion de données, le gang de Babuk semble être revenu à sa vieille habitude de chiffrer les réseaux d’entreprise.

Les criminels utilisent actuellement une nouvelle version de leur logiciel malveillant de cryptage de fichiers et ont déplacé l’opération vers un nouveau site de fuite qui répertorie une poignée de victimes.

Le gang est toujours actif

Le groupe de ransomware Babuk s’est fait connaître au début de l’année, mais le gang affirme que leurs attaques avaient commencé à la mi-octobre 2020, ciblant des entreprises du monde entier et exigeant des rançons généralement comprises entre 60 000 et 85 000 $ en crypto-monnaie bitcoin. Dans certains cas, des victimes ont dû payer des centaines de milliers de dollars pour déchiffrer les données.

L’une de leurs victimes les plus médiatisées est le Metropolitan Police Department (MPD) de Washington DC. Cette attaque a probablement poussé le groupe de cybercriminels à annoncer sa retraite du secteur des ransomwares pour adopter un autre modèle d’extorsion qui n’incluait pas le cryptage.

Le gang a également annoncé son intention de publier son logiciel malveillant afin que d’autres cybercriminels puissent lancer une opération de ransomware en tant que service. Le groupe de pirates a tenu sa promesse et a publié son constructeur, un outil qui génère des ransomwares personnalisés.

Le chercheur en sécurité Kevin Beaumont l’a trouvé sur VirusTotal et a partagé les informations pour aider la communauté infosec avec la détection et le décryptage.

Après l’arrêt de son activité en Avril, le gang a pris le nom de PayLoad Bin, mais leur site de fuite montre peu d’activité. Au lieu de cela, un nouveau site de fuite a émergé sur le dark web portant les marques du ransomware Babuk.

Le site répertorie moins de cinq victimes qui ont refusé de payer la rançon et qui ont été attaquées avec une deuxième version du malware.

Il semble que Babuk n’ait pas abandonné l’extorsion basé sur le cryptage. Ils n’ont publié que l’ancienne version de leur malware et en ont créé une nouvelle pour revenir dans le secteur des ransomwares.

Le gang l’a clairement indiqué dans un commentaire sur notre article sur une vague d’attaques de ransomware qui a utilisé le constructeur de Babuk divulgué et a exigé 0,006 bitcoins (actuellement environ 200 $) – montrant clairement que ce n’est pas le groupe d’origine qui l’utilise.

Il semble que le gang de Babuk ne soit pas prêt à abandonner l’activité de cryptage de fichiers et continuera de se concentrer sur les réseaux d’entreprise pour des paiements plus importants.

On ne sait pas ce qui a poussé le groupe à revenir à ses anciennes pratiques, mais étant donné le vide sur le site de fuite de PayLoad Bin, on peut supposer que l’extorsion de données ne s’est pas très bien passée.

En outre, on ne sait pas pour le moment si la nouvelle opération de Babuk contient les mêmes membres qui ont attaqué le département de la police métropolitaine de Washington DC ou si cet incident a produit une scission.

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire