babuk-ransomware - RunkIntel

# Babuk Ransomware > [!high] Ransomware com Vazamento de Código que Gerou Dezenas de Variantes > Babuk foi um ransomware RaaS ativo em 2021 que cifrou redes de grandes empresas com dupla extorsão. Após o vazamento do código-fonte em junho de 2021, tornou-se a base para dezenas de variantes - incluindo ataques contra setores de saúde, governo e finanças no Brasil e LATAM. ## Visão Geral Babuk (ou Babuk Locker) surgiu no início de 2021 como uma operação de ransomware-as-a-service (RaaS) focada em "Big Game Hunting" — ataques a grandes organizações com dupla extorsão. O grupo cifrava dados com ChaCha8/HC-128 e troca de chaves via Curve25519 (ECDH), garantindo criptografia robusta em Windows, Linux e hipervisores VMware ESXi. O episódio mais notório foi o ataque ao Departamento de Polícia Metropolitana de Washington D.C. em abril de 2021, que gerou pressão pública e divisões internas no grupo — culminando no anúncio de encerramento e no vazamento do código-fonte completo no fórum Raidforums em junho de 2021. O impacto duradouro do Babuk não veio de suas operações diretas, mas do vazamento: qualquer agente de ameaça passou a ter acesso a um ransomware funcional com criptografia robusta. Pesquisadores identificaram dezenas de variantes baseadas no código Babuk em ataques subsequentes, tornando-o a "fonte" de uma família inteira de ransomwares. No Brasil e em LATAM, variantes baseadas em Babuk foram documentadas em ataques contra municípios, hospitais e empresas de médio porte a partir de 2022. > [!latam] Relevância para Brasil e LATAM > Embora o Babuk Group original focasse em alvos norte-americanos, o **vazamento do código-fonte criou risco direto para LATAM**: grupos locais com menor sofisticação técnica passaram a ter acesso a ransomware funcional com criptografia robusta. Variantes baseadas em Babuk foram documentadas em ataques a **municípios**, **hospitais** e **empresas de médio porte** no Brasil a partir de 2022. O setor de **saúde** foi especialmente visado, alinhado ao padrão global de ataques Babuk. ## Descrição O Babuk (também chamado Babuk Locker) surgiu no início de 2021 como uma operação de Ransomware-as-a-Service (RaaS) direcionada a grandes organizações - estratégia conhecida como "Big Game Hunting". O grupo adotou o modelo de dupla extorsão: além de cifrar os dados, exfiltrava informações sensíveis e ameaçava publicá-las em um site de vazamento (leak site) na dark web caso o resgate não fosse pago. O malware suportava múltiplas plataformas: Windows, Linux e hipervisores VMware ESXi, além de dispositivos NAS. No Windows, utilizava criptografia baseada em **ChaCha8 e HC-128** com troca de chaves via **Curve25519 (ECDH)**, tornando a decriptação sem a chave privada computacionalmente inviável. O malware encerrava serviços de segurança, backups e bancos de dados antes de iniciar a criptografia, e apagava cópias de sombra (Shadow Copies) via WMI para impedir recuperação. O maior incidente público atribuído ao Babuk foi o **ataque ao Departamento de Polícia Metropolitana de Washington D.C.** em abril de 2021, quando operadores ameaçaram públicar informações de fontes confidenciais se o resgate não fosse pago. Este episódio foi o ponto de ruptura do grupo: divergências internas levaram ao anúncio de apósentadoria e à públicação do código-fonte no fórum Raidforums em junho de 2021. O vazamento do builder e do código-fonte teve consequências duradouras: qualquer agente de ameaça passou a poder criar suas próprias variantes de ransomware com criptografia robusta. Pesquisadores identificaram dezenas de grupos que reutilizaram o código Babuk para criar variantes próprias. Em 2025, surgiu o "Babuk Locker 2.0", na verdade uma operação fraudulenta que usava o nome para relançar dados já vazados de outras violações anteriores. ## Técnicas Utilizadas | Tática | Técnica | Descrição | |--------|---------|-----------| | Execução | [[t1059-command-and-scripting-interpreter\|T1059]] | Scripts para encerrar processos e serviços antes da criptografia | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativa AVs, EDRs e serviços de backup | | Defense Evasion | [[t1140-deobfuscate-decode-files-or-information\|T1140]] | XOR unpacking do payload principal | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumera arquivos e diretórios para criptografia seletiva | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Cifra arquivos com ChaCha8/HC-128 + ECDH/Curve25519 | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Deleta Shadow Copies via WMI para impedir recuperação | ## Grupos que Usam O código original foi operado pelo **Babuk Group** (anônimo). Após o vazamento em 2021, múltiplos grupos adotaram o código: - [[babuk-group]] - operadores originais (2021, encerrado) - Variantes pós-vazamento usadas por grupos não identificados em ataques contra governo, saúde e finanças - "Babuk Locker 2.0" em 2025 foi uma fraude de re-extorsão usando o nome sem código relacionado ## Detecção 1. **Monitorar encerramento em massa de processos** - o Babuk encerra listas específicas de processos (AV, backup, banco de dados) antes de iniciar criptografia. Alertas para `taskkill` ou `net stop` executados em sequência por um único processo devem ser investigados imediatamente. 2. **Detectar deleção de Shadow Copies** - comandos como `vssadmin delete shadows /all` ou consultas WMI para `Win32_ShadowCopy` com operação de deleção são indicadores fortes de ransomware ativo. Regras Sigma existem para esse padrão específico. 3. **Alertar para acesso a extensões de arquivo incomuns** - o Babuk adiciona extensão `.babyk` (ou variações) a arquivos cifrados. Monitorar criação massiva de arquivos com extensões desconhecidas via Sysmon Event ID 11. 4. **Monitorar execução de binários fora de caminhos legítimos** - o ransomware frequentemente é depositado em `%TEMP%` ou `%APPDATA%` antes de execução. Detectar executáveis assinados por certificados desconhecidos executados por processos de email ou browser. ## Relevância LATAM/Brasil Embora o Babuk Group original tenha focado em alvos norte-americanos e europeus, o **vazamento do código-fonte criou risco direto para LATAM e Brasil**: grupos locais ou regionais com capacidade técnica limitada passaram a ter acesso a um ransomware funcional com criptografia robusta. Pesquisadores de segurança brasileiros documentaram variantes baseadas em Babuk em ataques contra municípios, hospitais e empresas de médio porte no Brasil a partir de 2022. O setor de saúde brasileiro foi especialmente visado, alinhado com o padrão global de ataques Babuk ao setor de saúde. ## Referências - [1](https://attack.mitre.org/software/S0638/) MITRE ATT&CK - S0638 Babuk - [2](https://www.sentinelone.com/anthology/babuk/) SentinelOne - Babuk Ransomware Encyclopedia - [3](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/babuk-ransomware/) McAfee Labs - Babuk Ransomware Analysis (2021) - [4](https://cyble.com/blog/deep-dive-into-builder-of-notorious-babuk-ransomware/) Cyble - Deep Dive into Babuk Builder - [5](https://www.picussecurity.com/resource/blog/is-babuk-back-babuk-locker-2-0-analysis) Picus Security - Babuk Locker 2.0 Analysis (2025)