Geral 2min de Leitura

Babuk: o ransomware que lucra sem bloquear sistemas

Ransomware babuk agindo nas telas de computadores

This post is also available in: Português

Babuk se concentra na extorsão por roubo de dados e nunca criptografa arquivos.

O modelo de negócio que deu aos ransomwares a fama que hoje possuem é relativamente simples: invadir sistemas, copiar dados, bloquear os acessos e cobrar resgates para que tudo volte ao normal. O período sem poder usar os próprios arquivos era então um dos maiores “incentivos” às vítimas; sem poder trabalhar, muitas acabavam pagando o valor solicitado.

Agora, essa tendência parece ter ganho um capítulo importante, que talvez represente uma reviravolta. A ideia é não criptografar documentos, mas “somente” fazer cópias dos arquivos e cobrar para não publicar tudo. Assim, as vítimas podem acessar normalmente seus sistemas, mas são avisadas de que tudo pode ser exposto na internet se não fizerem o pagamento aos cibercriminosos.

Prova disso é um comunicado recente dos operadores do ransomware Babuk. A mensagem esclarece que a gangue decidiu encerrar o programa de afiliados e passar para um modelo de extorsão que não depende da criptografia dos computadores das vítimas. O anúncio causou certa surpresa, pois foi feito depois de o grupo postar e deletar dois posts sobre seu plano de desistir do projeto como um todo e liberar o código-fonte do malware.

Extorsão de roubo de dados

O grupo parece ter escolhido um caminho diferente do modelo ransomware-as-a-Service (RaaS), em que os crackers roubam dados antes de implantar o estágio de criptografia, como alavanca para as negociações do pagamento de resgate.

De acordo com uma mensagem chamada de “Hello World”, postada em seu site de vazamento, o modelo recém-anunciado do Babuk permanece quase o mesmo, exceto pelo item de criptografia de dados. “Babuk muda de direção. Não criptografamos mais arquivo algum. Mas vamos chegar até você e clonar seus dados. Iremos notificá-lo sobre isso com todos os detalhes. E, se você não entrar em contato, publicaremos tudo na internet, de modo que qualquer um poderá ver”, diz o comunicado.

Ideia reciclada

Tal plano não é necessariamente uma novidade. Afinal, a extração de dados para maiores demandas de resgate é uma prática que o Maze ransomware iniciou em novembro de 2019. Foi rapidamente adotada por todas as principais operações de ransomware, que estavam de olho em um faturamento mais pomposo.

No início de 2021, soube-se que o ransomware Clop executou uma série de ataques de roubo de dados em empresas de alto valor sem criptografar sistemas, explorando vulnerabilidades de dia zero no File Transfer Appliance da Accellion.

A gangue roubou um grande número de arquivos e exigiu pagamentos altos para não vazar ou negociar os dados. Várias vítimas desembolsaram dezenas de milhões de dólares para quitar os resgates.

Novatos?

Em sua mensagem mais recente, o Babuk ransomware diz que, apesar de ser uma nova equipe no cenário do ransomware, já está bem conhecida no ramo porque têm “os melhores pentesters da dark net”, segundo informações de seu site (em tempo: pentesters são profissionais responsáveis por encontrar vulnerabilidades em sistemas e redes de empresas).

As vantagens desse negócio de extorsão não são totalmente conhecidas no momento, mas acredita-se que um dos benefícios é poder extrair maiores quantidades de dados do que no caso do modelo convencional. Afinal, com uma tarefa a menos, o foco na captura de informações é total, e tende a dar mais frutos. Tanto é que, em seu site de vazamento, o Babuk mostra uma vítima da qual afirma ter copiado 10 terabytes de dados. Outro caso é o de um Departamento de Polícia Metropolitana (MPD), que a gangue afirma ter roubado 250 GB de dados.

Também é possível que os lucros sejam maiores porque estão exigindo resgates cada vez mais altos – ou vendendo os dados para concorrentes ou outras partes interessadas. Seja como for, as operações RaaS se tornaram tão grandes em termos de afiliados que é muito difícil controlar todos os seus aspectos. Nesse contexto, só há uma única certeza: os cibercriminosos estão ficando cada vez melhores em driblar sistemas de segurança digital.

This post is also available in: Português