¿Qué es Babuk?

Babuk es un tipo de Ransomware y el nombre del grupo que lo opera (también llamados Fancy Gang, Vasa locker o Baby), cuya actividad se concentró en 2021. Se caracterizó, entre otras cosas, por su capacidad para infectar tanto entornos Windows, como NAS, así como entornos ESXi (nodos del hipervisor VMWare). 

Su descubrimiento por parte de los investigadores de ciberseguridad llegó en un momento de tendencia para lo que se conoce hoy por hoy como RaaS (“Ransomware as a Service”), donde el ransomware deja de ser un malware autónomo que salta de manera independiente en busca de nuevas víctimas, para pasar a un modelo de organización, donde los compromisos y la ejecución del ransomware son gestionadas por un grupo organizado por operadores, desarrolladores y gestores.

A día de hoy el grupo ha reducido su actividad notablemente y podría considerarse que está inactivo. Esto es debido a que a medidados de 2021 el código fuente de Babuk fue filtrado en foros de hacking por uno de sus desarrolladores. Gracias a esta filtración, se pudieron identificar todas sus capacidades, siendo relevantes el uso de TTPs como el borrado de shadow copies (para impedir la recuperación del sistema a un punto anterior a la infección), y la interrupción de procesos legítimos que permitan detectar las acciones del ransomware, entre otros.