babuk-group - RunkIntel

# Babuk > [!danger] Grupo Ransomware — Legado que Persiste via Vazamento de Código > **Babuk** foi um grupo de ransomware ativo em 2021 que atacou o Departamento de Polícia Metropolitana de Washington D.C. Embora dissolvido, seu **código-fonte vazou em 2021**, gerando dezenas de variantes que continuam sendo usadas por outros grupos até hoje. ## Visão Geral O Babuk (também escrito "Babyk") foi um grupo de ransomware como serviço ativo nos primeiros meses de 2021, responsável por ataques de alto perfil a organizações governamentais e de saúde. O grupo ficou internacionalmente conhecido ao atacar o Departamento de Polícia Metropolitana de Washington D.C. em abril de 2021, roubando e vazando arquivos operacionais da polícia. O grupo encerrou suas operações de ransomware em maio de 2021 após o ataque à polícia gerar pressão significativa das autoridades americanas. Contudo, o impacto do Babuk não terminou com sua dissolução: em setembro de 2021, o código-fonte completo do ransomware Babuk **foi vazado públicamente** em fóruns criminosos. Esse vazamento de código-fonte teve consequências de longo alcance: múltiplos grupos criminosos utilizaram o código do Babuk como base para criar novas variantes de ransomware para VMware ESXi e Linux — uma tendência que acelerou dramaticamente os ataques a ambientes virtualizados a partir de 2022. Grupos como ESXiArgs, Tortilla e outros foram construídos em cima do código do Babuk. Para o Brasil e a América Latina, o legado do Babuk é particularmente relevante: ataques a ambientes ESXi usando código derivado do Babuk foram documentados no Brasil e na Argentina entre 2022 e 2024. ## Attack Flow ```mermaid flowchart LR A[Acesso Inicial\nRDP exposto\nCredenciais compradas] --> B[Movimento Lateral\nPsExec / WMI\nPrivilégios de domínio] B --> C[Descoberta\nEnum de compartilhamentos\nESXi hosts identificados] C --> D[Exfiltração\nDados sensíveis\nDupla extorsão] D --> E[Criptografia\nBabuk ransomware\nESXi + Windows] E --> F[Extorsão\nLeak site\nNegociação resgate] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Criptografia de Dados | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware Babuk Windows e ESXi | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | RDP com credenciais compradas | | Serviços Remotos | [[t1021-remote-services\|T1021]] | RDP, PsExec para movimento lateral | | PowerShell | [[t1059-command-and-scripting-interpreter\|T1059]] | Scripts de preparação pré-criptografia | ## Detecção e Defesa - Desabilitar RDP exposto diretamente à internet — usar VPN com MFA - Monitorar ambientes VMware ESXi por processos suspeitos e alterações de configuração - Implementar backups imutáveis offline de VMs ESXi com testagem regular - Detectar uso de PsExec e WMI para movimento lateral em domínio - Consultar IoCs de variantes ESXiArgs (derivadas do Babuk) para detecção retroativa ## Referências - Mandiant: Babuk Ransomware targeting law enforcement (2021) - McAfee: Babuk Locker ransomware analysis (2021) - Varonis: Babuk source code leak analysis (2021) - CISA: ESXiArgs ransomware (Babuk-derived) advisory (2023) - FBI Flash: Babuk indicators of compromise (2021)