Ransomware Babuk

Publicado hace 2 semanas 04-02-2025

El ransomware Babuk es un malware que emergió a principios del año 2020 y se desarrollo para diversas plataformas como lo son Windows y ARM para Linux. Para el actual año 2024 se tienen registradas 8 víctimas, siendo su último del año 2023. [1]

Babuk es un ransomware altamente avanzado que tiene un estado de asociado con “Evilcorp”, un clúster de operaciones cibercriminales. En 2021 cambio su esquema y se abrió al publico como un Ransomware como servicio (RaaS) y es vendido y anunciado mediante varios foros y mercados del submundo criminal. [1]

Babuk es una evolución de la familia de malwares “WastedLocker”, “PhoenixLocker” y “Hades”. su código fuente y los constructores de este ransomware son públicos por lo que cualquiera puede construir su propia versión para Windows y Linux. [1]

Este ransomware cuenta con su propia página de filtraciones en la que lista la información sobre las vulnerabilidades sus victimas y la hace publica en caso de no realizar el pago correspondiente del rescate, además, en esta pagina se da información sobre babuk y sus objetivos en los que se pronuncian como “un software no malicioso, especializado que tiene como propósito mostrar problemas de seguridad en redes corporativas” [1]


Imagen del sitio de filtraciones de Babuk [4]

Las técnicas de infiltración de Babuk varían debido a su código público y venta como RaaS, las más comunes son la explotación del puerto RDP (3389), Emails de spear Phishing para ganar acceso inicial, uso de vulnerabilidades publicas y uso de infostealers para obtener credenciales validas. Babuk usa una encriptación AES-256 para cifrar los archivos de la computadora infectada y también inhabilita o detiene procesos que previenen la encriptación de los archivos.

En un post del 2021 el cual fue eliminado Babuk dio un comunicado en el que establecían que se apartarían de la operación y abrirían el código de su plataforma al público. [1]

Recientemente, en enero de 2025, Babuk volvió a hacer su aparición en escena. El equipo de investigación e inteligencia de GuidePoint (GRIT) encontró un data leak site de una banda de ransomware llamada Babuk2. Este sitio es exactamente igual al de Babuk, por lo que se sospecha que es la continuación de su antecesor, aunque esto no está completamente confirmado.

En el sitio de filtraciones se encuentran 67 víctimas registradas tan solo en el mes de enero. Sin embargo, los números parecen estar manipulados por el grupo, ya que el 90 % de sus víctimas en realidad pertenecen a otros ransomwares, como FunkSec, Ransomhub y LockBit, entre otros. La razón para tomar víctimas de otras fuentes probablemente sea darle más credibilidad a la operación y ganar más socios o clientes.

Indicadores de Compromiso:
 

IOC Tipo
391cfcd153881743556f76de7bbca5b19857f8b69a6f6f6dfde6fd9b06c17f5e SHA256
093f098e70cc57a17d02323cbe6cd484 MD5
0bbb5eafade47a9d212a23fc886646b7 MD5
19c0a639deff667326447505fc2a2b50 MD5
3556821dd4184777d340ace0d17d3a53 MD5
40cb99cdde860d159793e217d9e63eeb MD5
85941b9cceb35775fccf01649021470f MD5
a0c33ee191392f73670f80724d8e1104 MD5
a22ca06bb3a58d4ca2bca856434b96f3 MD5
a73d9dc904349b9c967dc6a724806b2d MD5
ab083f1294796b947de5390ec853243e MD5
cd66be302d78804e06d0eaec75a23d49 MD5
2138c8a34a1eff40ba3fc81b6e3b7564c6b695b140e82f3fcf23b2ec2bf291cf MD5
134239f63291d00a604e619ffafb0bf3a05e5a80 SHA-1
470f45671c5b0d0488d6b1bc9c9a12d5dc36308d SHA-1
4a12e232b2442746334ef5d94fab4c3577b33de7 SHA-1
51c565eb38611491f7c157612cb804f1882fd0b8 SHA-1
5551275c020dabd7d630ae1a0a2b8e4b2649b448 SHA-1
636a05d251a32d8f907a579bab4a77e24981e9c8 SHA-1
64bbdbaf176f5b2ca7cb307eb8f6db2f4130d265 SHA-1
792bcfd8df7dae8775c5d9d695b4679880465baa SHA-1
9d0c6528565303e5b10a964a2783c77f25b9695b SHA-1
a243f2226a6db344c0633bd8b55311df19317887 SHA-1
e0968b05a8c11386bbfd2a7f85e2ce3510b31094 SHA-1
e3e6dfd5e0c29acefe90471e46142c120278e9f0 SHA-1
07fb7b42fe8d4a2125df459efd86de0f27b91b59d82b85b530c1e7c552c9e235 SHA-256
08d799cc27063bc7969ae935ca171b518d0b41b1feaa9775bae06bd319291b41 SHA-256
0994c1fc7f66f88eead2091f31a2137f69d08c3cf9ee0f4a15a842f54253c9d9 SHA-256
1d28c4c85e241efbbe326051999b9a8e1d8eeb9a3322da5cb9a93c31c65bbb49 SHA-256
2138c8a34a1eff40ba3fc81b6e3b7564c6b695b140e82f3fcf23b2ec2bf291cf SHA-256
56b7e6dd46e38a30ead82790947a425661ad893f54060381c9b76616c27d3b9f SHA-256
5f35dbf807c844c790b9cffc9f83eca05d32f58b737ba638c9567b8d22119f96 SHA-256
63b6a51be736d253e26011f19bd16006d7093839b345363ef238eafcfe5e7e85 SHA-256
752d66990097c8be7760d8d6011b1e91daa1d5518951d86f9fdf3d126d54872a SHA-256
949c262359f87c8a0e8747f28a89cf3d519b35fbc5a8be81b2cd9e6adc830370 SHA-256
98a3ef26b346c4f47e5dfdba4e3e26d1ef6a4f15969f83272b918f53d456d099 SHA-256
9a089790e04683ebf37d9746e0284322f59c46eef2a86cc231839482f323e871 SHA-256
ae6020a06d2a95cbe91b439f4433e87d198547dec629ab0900ccfe17e729cff1 SHA-256
b3b66f7e70f1e1b1494677d0ed79fcc7d4901ffae53d89fd023c8b789bb0fe62 SHA-256
f1719415abe4dcba0daef0a1e5c8994d1d3c0c659d3e0a11b34f307370dd8683 SHA-256
168.119.93.163 IPv4
185.219.52.229 IPv4
http://185.219.52.229 URL
http://fbi.fund URL
01b09b554c30675cc83d4b087b31f980ba14e9143d387954df484894115f82d4 FileHash-SHA256
07fb7b42fe8d4a2125df459efd86de0f27b91b59d82b85b530c1e7c552c9e235 FileHash-SHA256
0b188a6915aa7be71b224ef8a43795939bd90a44ba5818c644c1250e2e4c9a87 FileHash-SHA256
2c1475f1b49a8b93a6c6217be078392925535e084048bf04241e57a711f0f58e FileHash-SHA256
38e05d599877bf18855ad4d178bcd76718cfad1505328d0444363d1f592b0838 FileHash-SHA256
3ab167a82c817cbcc4707a18fcb86610090b8a76fe184ee1e8073db152ecd45e FileHash-SHA256
47033d071e1c79cc03f8b4081f5f6d470d45e32a90b06ee96bfe6c3df2f47d40 FileHash-SHA256
4d90a1eb9fff85d64e2323b91db979c8dce6bd6aaa46146ade8c006f4cab9275 FileHash-SHA256
4dc407b28474c0b90f0c5173de5c4f1082c827864f045c4571890d967eadd880 FileHash-SHA256
5b3627910fe135475e48fd9e0e89e5ad958d3d500a0b1b5917f592dc6503ee72 FileHash-SHA256
5f35dbf807c844c790b9cffc9f83eca05d32f58b737ba638c9567b8d22119f96 FileHash-SHA256
752baa65ce6474d8ff04c6723970bf25b164eb02939062d6cbe92474c2d82412 FileHash-SHA256
7eabd3ba288284403a9e041a82478d4b6490bc4b333d839cc73fa665b211982c FileHash-SHA256
805844809a4064fb14c88f1a401dcf1b5595a0183f4d3289cddfded1c1f498a9 FileHash-SHA256
83052cc23c45ecaa09fe5c87fd650c7f8e708aea46756a2b9d452d40ce3b9c00 FileHash-SHA256
87db70368910dbf29c3dac5f39466c59631087120add02c405338706dfc369ca FileHash-SHA256
930760c00de1b9a4bc2eefcd96173f1e9a906b11a9566c517fcb87a13acaa327 FileHash-SHA256
949c262359f87c8a0e8747f28a89cf3d519b35fbc5a8be81b2cd9e6adc830370 FileHash-SHA256
98bad23237c9a5067cc1cc7aaffe126e3c96478b5170faa4faa9748e42213408 FileHash-SHA256
a547d1da26b7eb8a4b439127eafa0d4fc4bbe0a27e17d14294a50a2832c96547 FileHash-SHA256
aae3701136781f99765e8ee478fc0234e4f3b9853b9015e4c477f8a010a6bdb8 FileHash-SHA256
b82912864b2336fb19a48a3b141913c456335d1b4abf3cda481a16609be4e97e FileHash-SHA256
b99d114b267ffd068c3289199b6df95a9f9e64872d6c2b666d63974bbce75bf2 FileHash-SHA256
c0aa74bc157788d0329b81ff87fc4d4b764d4823159bccd1f538cc0301a625f4 FileHash-SHA256
c2ca8d9613e62468ffc3ce94b5817896bcfad5e74944f69be4773b1ea1b021bb FileHash-SHA256
c87ff4d4f5b3053ccee36d43a59f6ca3a0b3ba6284ecf861ecda67edf2b45840 FileHash-SHA256
cf3bdf0f8ea4c8ece5f5a76524ab4c81fea6c3a1715b5a86b3ad4d397fca76f3 FileHash-SHA256
d1ba6260e2c6bf82be1d6815e19a1128aa0880f162a0691f667061c8fe8f1b2c FileHash-SHA256
d259be8dc016d8a2d9b89dbd7106e22a1df2164d84f80986baba5e9a51ed4a65 FileHash-SHA256
d65225dc56d8ff0ea2205829c21b5803fcb03dc57a7e9da5062cbd74e1a6b7d6 FileHash-SHA256
dc90560d7198bf824b65ba2cfbe403d84d38113f41a1aa2f37f8d827fd9e0ceb FileHash-SHA256
de052ce06fea7ae3d711654bc182d765a3f440d2630e700e642811c89491df72 FileHash-SHA256
de9d6e3b4aebbc8aeaa3f74a5d50d14b861209d90b4c909920b48c10fd4c77b5 FileHash-SHA256
e14b88795bde45cf736c8363c71a77171aa710a4e7fa9ce38470082cb1bdadbb FileHash-SHA256
e5d65e826b5379ca47a371505678bca6071f2538f98b5fef9e33b45da9c06206 FileHash-SHA256
eda0328bfd45d85f4db5dbb4340f38692175a063b7321b49b2c8ebae3ab2868c FileHash-SHA256
f0f0279eb38391e25a6cac9c903da0bd23d418ed8100194295ea69130acc5e3f FileHash-SHA256
f3caa040efb298878b99f883a898f76d92554e07a8958e90ff70e7ff3cfabdf5 FileHash-SHA256
http://185.219.52.229/vefEPjwOdNF9qNw.hta URL
http://fbi.fund/dark.exe URL
http://fbi.fund/tortillas/tore.exe URL
http://hkpomcx622gnqp2qhenv4ceyrhwvld3zwogr4mnkdeudq2txf55keoad.onion URL
http://xxxs.info/kaido.exe URL
https://kmsauto.us/someone URL
https://kmsauto.us/someone/start.ps1 URL
abroad.ge domain
babukq4e2p4wu4iq.onion domain
hkpomcx622gnqp2qhenv4ceyrhwvld3zwogr4mnkdeudq2txf55keoad.onion domain
windowservicecemter.com domain
winserverupdates.com domain
xxxs.info domain
   
72b4851a0410780bc1d3b65b9b540c33 FileHash-MD5
b7d1a21f0c13c1bf363048af00fa23ddb9846272 FileHash-SHA1
ef0ee6a6a643347082e097f29cd351150b2d4196faef4ce926a307c2ca46f96a FileHash-SHA256
afd5d656a42a746e95926ef07933f054 FileHash-MD5
04028a0a1d44f81709040c31af026785209d4343 FileHash-SHA1
9db958bc5b4a21340ceeeb8c36873aa6bd02a460e688de56ccbba945384b1926 FileHash-SHA256
2598e8adb87976abe48f0eba4bbb9a7cb69439e0c133b21aee3845dfccf3fb8f FileHash-SHA256
01492156ce8b4034c5b1027130f4cf4e FileHash-MD5
6b0deb67a178fe20e81691133b257df3bafa3006 FileHash-SHA1
df0b88dafe7a65295f99e69a67db9e1b FileHash-MD5
db3163a09eb33ff4370ad162a05f4b2584a20456 FileHash-SHA1
f484f919ba6e36ff33e4fb391b8859a94d89c172a465964f99d6113b55ced429 FileHash-SHA256
6dc27523eb048bb7197bfdf39d6d15dd FileHash-MD5
https://kmsauto.us/app1.bin URL
https://kmsauto.us/encoding.txt URL
https://kmsauto.us/server.txt URL
https://kmsauto.us/someone/l.exe URL
https://kmsauto.us/someone/potato.exe URL
https://kmsauto.us/sti/sti.bin URL
kmsauto.us domain
a32b7e40fc353fd2f13307d8bfe1c7c634c8c897b80e72a9872baa9a1da08c46 FileHash-SHA256
01d66a03a0de2ee2eacacaa3ac98f0aa FileHash-MD5
c89dd8098bb565ffbca2b015fa3a862e FileHash-MD5
f07dc09a859321bca78c1d7da99ad181 FileHash-MD5
1bab1913533d5748e9cda388f55c446be6b770ff FileHash-SHA1
6d51174ce888641bc27d5ee968b19b472e014212 FileHash-SHA1
c7163968518d5a7d86c5fce07d05141c646ef6f6 FileHash-SHA1
2280898cb29faf1785e782596d8029cb471537ec38352e5c17cc263f1f52b8ef FileHash-SHA256
6a973119a7c1cb0151cd94b34d24e963260a000da3e3a8df4b96e2430ffa409e FileHash-SHA256
9555810647200a6eda75dfe1527c1d8720e929b19a6086e536fb4fce4d9db485 FileHash-SHA256
a533f9ae8f269f97eeb35ddac6d1d955924f6eea1794b8a227457e95cf524d44 FileHash-SHA256
aa4cd5e9ff8ef8e4a72601c03154231631a5179167400a5478ca4282188b1163 FileHash-SHA256
abbaff145b18d26db84d52669d1279e928d51f1f571f686cb100d7893cb69295 FileHash-SHA256
bdadf73a531421f832714078c438267a76fd5085596c86f2fa4b7341cb336da1 FileHash-SHA256
e5d819fd969d6bc913698c44beb5c8f763a6d6f07b7cdb3514c4b61a68a1d747 FileHash-SHA256
f064dfde1338a45c76c9cbbe9d7c8b358884c32c21510df14ab9b72df9ead1ba FileHash-SHA256
0994c1fc7f66f88eead2091f31a2137f69d08c3cf9ee0f4a15a842f54253c9d9 FileHash-SHA256
56b7e6dd46e38a30ead82790947a425661ad893f54060381c9b76616c27d3b9f FileHash-SHA256
752d66990097c8be7760d8d6011b1e91daa1d5518951d86f9fdf3d126d54872a FileHash-SHA256
4fa565cc2ebfe97b996786facdb454e4328a28792e27e80e8b46fe24b44781af FileHash-SHA256
bb31f235e86b0fda185e6580ef5327f80d6a6c754f78499e8647de5e229769cc FileHash-SHA256
c4282e9040cdc1df92b722568a8b4c42ce9f6533fed0bd34b7fdbae264947784 FileHash-SHA256
cbdc8fd073176c4e0328aff65147f37e5d46847de62508e7a3cf12f49a40b799 FileHash-SHA256
f1719415abe4dcba0daef0a1e5c8994d1d3c0c659d3e0a11b34f307370dd8683 FileHash-SHA256
3dda3ee9164d6815a18a2c23651a53c35d52e3a5ad375001ec824cf532c202e6 FileHash-SHA256
dcd725c415cebc7df170edf49af18d6f86e76ef75185737de5959405f4aecc56 FileHash-SHA256
c33e56318e574c97521d14d68d24b882ffb0ed65d96203970b482d8b2c332351 FileHash-SHA256
aa48acaef62a7bfb3192f8a7d6e5229764618ac1ad1bd1b5f6d19a78864eb31f FileHash-SHA256
http://95.213.145.101 URL
http://95.213.145.101/64ME_bul URL
https://t.me/bl00dy_Ransomware_Gang URL
https://pastebin.pl/view/raw/a57be2ca URL
5e03cea2e3b875fdbf1c142b269470a9e728bcfba1f13f4644dcc06d10de8fb4 FileHash-SHA256
https://kmsauto.us/someone/ghost.exe URL
https://kmsauto.us/someone/spooler.exe URL
7d6e57cbc112ebd3d3c95d3c73451a38 MD5
f570d5b17671e6f3e56eae6ad87be3a6bbfac46c677e478618afd9f59bf35963 SHA-256
suporte0109202.myftp.biz Hostname
e10713a4a5f635767dcd54d609bed977 MD5
4f7adc32ec67c1a55853ef828fe58707 MD5
bec9b3480934ce3d30c25e1272f60d02 MD5
19ce538b2597da454abf835cff676c28b8eb66f7 SHA-1
c2d46d256b8f9490c9599eea11ecef19fde7d4fdd2dea93604cee3cea8e172ac SHA-256
f87be226e26e873275bde549539f70210ffe5e3a129448ae807a319cbdcf7789 SHA-256
 
6a0449a0b92dc1b17da219492487de824e86a25284f21e6e3af056fe3f4c4ec0 SHA-256
298b9c281bab03460621171d76476850 MD5
bdf3d5f4f1b7c90dfc526340e917da9e188f04238e772049b2a97b4f88f711e3 SHA-256
6d87be9212a1a0e92e58e1ed94c589f9 MD5
46a1325bb01e37e0ee2d2ba37db257f2 MD5
7c4027418a000c68372b251a2fc152b10acf502f SHA-1
98272cada9caf84c31d70fdc3705e95ef73cb4a5c507e2cf3caee1893a7a6f63
 		 SHA-256
ea1872b2835128e3cb49a0bc27e4727ca33c4e6eba1e80422db19b505f965bc4 Sha-256
33fff5d2e84bd2fad9c82e6c1d7002be MD5
cfb6d21ffe7c4279f761f2351c0810ee MD5
            feb7b1e0161df136c3d385bfd2d4b247 MD5
60ed30bea0f9e2db5cc1f45241c7473c MD5
            393a7a313548a4edc025fb47c6c8e614ecc2b41db880ecb59f20cf238e9a864c            Sha-256
dd7f88a68a76acc0be9eb0515d54a82a MD5
e25e078255b56b47897ac96a7842de92 MD5
704a0fa7de19564bc743fb68aa0652e38bf86e8ab694bc079b15f945c85f4320 SHA-256
afcf265a1dcd9eab5aab270d48aa561e4ddeb71c05e32c857d3b809bb64c0430 SHA-256

 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.

Referencias

  1. SENTINEL ONE (S.F.) Babuk Ransomware: In-Depth Analysis, Detection, Mitigation, and Removal. Recuperado el 12 de noviembre del 2024 en: https://www.sentinelone.com/anthology/babuk/
  2. Mundo, A. (2021, febrero 23) Mamba 2FA: A new contender in the AiTM phishing ecosystem. Recuperado el 30 de enero del 2025 en: https://www.mcafee.com/blogs/other-blogs/mcafee-labs/babuk-ransomware/
  3. ACRONIS. (2021, julio 5) Threat analysis: Babuk ransomware. Recuperado el 30 de enero del 2025 en: https://www.redeszone.net/noticias/seguridad/nuevo-malware-afecta-cuentas-microsoft/
  4. RANSOMWARE LIVE (S.F.) Ransomware Group: Babuk. Recuperado el 30 de enero del 2025 en: https://www.ransomware.live/group/babuk
  5. Silver, R. (2025, Enero 29) Ongoing report: Babuk2 (Babuk-Bjorka). Recuperado el 30 de Enero del 2025 en: https://securityboulevard.com/2025/01/ongoing-report-babuk2-babuk-bjorka/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Actualización de Cortex XDR Agent 8.5.2
Publicado hace 3 días 18-02-2025

Una nueva versión de los agentes de Cortex ha sido calendarizada para su salida al público el día 3 de marzo de 2025. Se trata de una actualización de versión menor, en específico, la versión 8.5.2. En este tipo de actualizaciones......

Vulnerabilidades de Buffer Overflow
Publicado hace 5 días 17-02-2025

 Secure by design es una práctica que se establece para que productos y software sean diseñados para ser seguros. Cada proyecto establece sus vulnerabilidades al principio del diseño de software y son corregidas o reforzadas para cumplir con esta pr&aacu......

Vulnerabilidad alta en interfaz de administración de Palo Alto (CVE-2025-0108)
Publicado hace 1 semana 14-02-2025

Palo Alto, al igual que otras compañías, establece un día específico para publicar avisos de seguridad sobre sus vulnerabilidades del mes. En el caso de Palo Alto, esto ocurre el segundo miércoles de cada mes, donde se publican vulnerabilidades......

BOLETINES RECIENTES

...
Actualización de Cortex XDR Agent 8.5.2
Publicado hace 3 días 18-02-2025
Leer más
...
Vulnerabilidades de Buffer Overflow
Publicado hace 5 días 17-02-2025
Leer más
...
Vulnerabilidad alta en interfaz de administración de Palo Alto (CVE-2025-0108)
Publicado hace 1 semana 14-02-2025
Leer más