Ransomware : le groupe Babuk annonce la fin de ses activités
Apparu en tout début d’année, le groupe s’est tout récemment fait remarquer par le vol de données auprès de la police métropolitaine de Washington DC. On lui connaît deux victimes en France. Il prévoit de prendre le virage de l’open source.
Quatre petits mois d’activité et puis s’en vont. Les opérateurs du ransomware Babuk, sortis de l’ombre en début d’année, viennent d’annoncer l’arrêt de leurs activités. Sur le site Web caché où ils ont exhibé les victimes qui leur tenaient tête, les cyberdélinquants expliquent que « le projet Babuk va être fermé. Son code source sera rendu publiquement accessible. Nous ferons une sorte de Ransomware as a Service [RaaS] Open Source. Chacun pourra faire son propre produit sur la base du nôtre et en finir avec le reste du RaaS ». De fait, une telle initiative pourrait bien encourager l’émergence de multiples indépendants, notamment parmi les attaquants dont les candidatures ont été rejetées par d’autres groupes.
Le déclencheur semble être leur récente intrusion dans le système d’information de la police métropolitaine de Washington DC, outre-Atlantique. Les opérateurs de Babuk ont revendiqué le vol de 250 Go de données, environ, et menacé de les diffuser. Les captures d’écran postées par les attaquants laissaient à penser qu’ils disposaient de documents sensibles : données disciplinaires, membres de gangs, etc.
Les attaquants sont allés jusqu’à menacer de contacter les gangs pour leur désigner les informateurs dans leurs rangs. Plus loin, ils se disaient prêts à « continuer d’attaquer le secteur fédéral des États-Unis, le FBI, la CISA, etc. Nous trouvons des 0-day avant vous ; des attaques bien plus vastes vous attendent ».
Ces menaces n’ont pas manqué de faire quelques remous, surtout dans un contexte tendu après les révélations sur les campagnes Solarwinds et Codecov. Et dans un échange avec Sekurak, les opérateurs de Babuk ont adopté un ton soudainement très différent. Là, plus question de bonder le torse, bien au contraire : « la police de Washington est la dernière institution que nous attaquons. Nous ne voulons pas être confondus avec des pirates politiques ou liés à l’État russe. Nous ne sommes pas eux et nous considérons que leurs actions sont stupides ».
Et s’ils ne visent pas de victimes dans des pays de l’ancien bloc soviétique, c’est uniquement parce que selon eux, « ils n’ont pas les moyens de payer ». D’autres groupes de cyberdélinquants n’ont manifestement pas la même appréciation de la situation : nous avons identifié des victimes de Darkside et de Revil en Pologne, notamment, au cours des derniers mois.
Dans le même échange, les opérateurs de Babuk ont affirmé disposer de têtes de pont, depuis l’été dernier, dans les systèmes d’information « des plus grandes entreprises IT ». Ils ont assuré qu’au moins 7 entreprises les ont payés, dont une pour 2 millions de dollars. Depuis le début de l’année, nous avons recensé 40 victimes de Babuk.
Les cyberdélinquants aux commandes de ce rançongiciel ont fait au moins deux victimes connues en France : Yposkesi et Marietton Développement. Le premier est apparu sur le site Web caché de Babuk fin mars ; le second l’y a rejoint le 19 avril.
