Un Threat Actor ha fatto trapelare il codice sorgente completo del ransomware Babuk su un forum dell’underground.

Babuk Locker, noto anche internamente come Babyk, è un operatore ransomware attivo dall’inizio del 2021 con l’avvio di attacchi a doppia estorsione (Ransomware Double-Extortion). Dopo aver attaccato il Metropolitan Police Department (MPD) di Washinton DC e quindi aver attirato l’attenzione delle forze dell’ordine statunitensi, la banda di ransomware ha affermato di aver chiuso la loro attività. Tuttavia, una parte di membri dello stesso gruppo si è separata per rilanciare il ransomware con il nome Babuk V2, attivo ancora oggi.

Codice sorgente trapelato

Un presunto membro del gruppo Babuk ha rilasciato il codice sorgente completo del ransomware su un forum russo. Questo membro ha affermato di soffrire di un cancro terminale e ha deciso di rilasciare il codice sorgente.

Post tradotto dal russo.

Il file condiviso contiene diversi progetti ransomware Visual Studio Babuk per VMware ESXi, NAS e crittografia Windows, di seguito viene mostrato il progetto di VS per i sistemi Windows.

Il ransomware Babuk utilizza la crittografia a curva ellittica (ECC) come parte della sua routine di crittografia. Nel codice trapelato vi sono cartelle contenenti cifratori e decodificatori compilati per specifiche vittime della Ransomware Gang. Fabian Wosar, un noto ricercatore facente parte di McAfee ha rivelato che queste cartelle contengono anche file che potrebbero essere le chiavi di decrittazione ECC di alcune vittime, come nell’immagine seguente, tuttavia, questo non è stato ancora confermato.