s0638-babuk - RunkIntel

# Babuk > Tipo: **malware (ransomware)** - RaaS / Big Game Hunting - S0638 - [MITRE ATT&CK](https://attack.mitre.org/software/S0638) > [!danger] Vazamento de Código-Fonte - O Legado Mais Perigoso > Em setembro de 2021, o código-fonte completo do Babuk vazou no XSS Forum por um membro do grupo com conflitos internos. O resultado: mais de 9 variantes ESXi/Linux derivadas foram documentadas em 2022-2023, utilizadas por grupos independentes. Rook, LOCK File, Mario ESXi, e PrideLocker sao todos derivados diretos do Babuk. Um único leak transformou um grupo pequeno em um ecossistema criminal global. ## Visão Geral [[s0638-babuk|Babuk]] (também conhecido como Babyk e Vasa Locker) e um ransomware RaaS ativo desde janeiro de 2021, desenvolvido por um grupo de lingua russa focado em Big Game Hunting contra organizacoes com receita superior a USD 60 milhões. O grupo ganhou notoriedade internacional ao atacar a Policia Metropolitana de Washington D.C. (Metropolitan Police Department - MPD) em abril de 2021 - um dos ataques mais audaciosos da historia do ransomware, com exfiltração de 250 GB de dados incluindo informações sobre informantes policiais e investigacoes em andamento. A técnica criptografica do Babuk e técnicamente sofisticada para um grupo novo: utiliza criptografia de curva eliptica (ECDH com ChaCha8) - a mesma abordagem usada pelo [[s0481-ragnar-locker|Ragnar Locker]] e mais eficiente que o RSA-2048 clássico. A implementacao ECDH gera um par de chaves por vitima: a chave pública e embutida no executavel, e a chave privada da vitima e destruida após cifragem, tornando a recuperacao sem pagamento impossível a menos que os operadores fornecerem a chave privada do grupo. O legado mais impactante do Babuk nao sao os ataques diretos, mas o vazamento do código-fonte em setembro de 2021 por um membro dissidente. Esse evento criou um ecossistema de variantes independentes: Rook (novembro 2021), LOCK File (dezembro 2021), Mario ESXi Ransomware (2022), PrideLocker (2022), Night Sky (2022), e pelo menos 9 variantes identificadas específicamente para VMware ESXi. Em um detalhe macabro que confirma a origem humana do malware, o mutex do Babuk e `DoYouWantToHaveSexWithCuongDong` - nome que aparece em amostras iniciais do código. **Plataformas:** Windows, Linux, VMware ESXi ## Como Funciona O acesso inicial varia por campanha: phishing direcionado, comprometimento de VPN (especialmente Fortinet e Pulse Secure com vulnerabilidades conhecidas), ou RDP com credenciais bruteadas. Após o acesso inicial, o grupo realiza movimentação lateral usando ferramentas legitimas de administracao de sistemas e implanta o Cobalt Strike para C2. **Sequencia de execução:** 1. Enumeracao: `net view`, `net share`, `GetLógicalDrives` - mapeamento de recursos acessiveis 2. Parada de servicos: 214 servicos parados incluindo SQL Server, Exchange, Veeam, Acronis via `sc stop` em loop 3. Parada de processos: 185 processos terminados incluindo navegadores, editores, ferramentas de backup 4. Exclusao de Shadow Copies: `vssadmin delete shadows /all /quiet` 5. Cifragem: varredura recursiva de arquivos, pula extensoes de sistema (`.exe`, `.dll`, `.sys`) e caminhos específicos 6. Deposito de nota: `How To Restore Your Files.txt` em cada diretorio cifrado **Variante ESXi (pos-vazamento):** As variantes derivadas do código vazado foram específicamente adaptadas para VMware ESXi: param todas as VMs via `esxcli vm process kill`, cifram arquivos `.vmdk`, `.vmx`, `.vmsn`, `.vmem` - os arquivos criticos do hipervisor. VMware ESXi nao tem antivirus tradicional, tornando essas variantes especialmente eficazes em data centers. **Criptografia:** ECDH (Curve25519) + ChaCha8 para cifragem de arquivos. Arquivos abaixo de 41 MB sao cifrados completamente; arquivos maiores usam cifragem parcial para velocidade. Extensao `.babuk` adicionada a cada arquivo. ## Attack Flow ```mermaid graph TB A["🎣 Acesso Inicial VPN vuln / RDP / Phishing Fortinet / Pulse Secure CVEs"] --> B["🔗 C2 Cobalt Strike Movimentação lateral Reconhecimento do AD"] B --> C["🔍 Enumeracao de Recursos 214 servicos + 185 processos T1007 Service Discovery"] C --> D["💾 Destruicao de Backups VSS deletado - Veeam parado T1490 Inhibit Recovery"] D --> E["📤 Exfiltração pre-cifragem Dados criticos para C2 T1041 Exfiltration over C2"] E --> F["🔑 Criptografia ECDH+ChaCha8 Local + ESXi VMDKs T1486 Data Encrypted for Impact"] F --> G["💰 Dupla Extorsao Babuk Locker Blog - dados vazados Resgaté em Bitcoin ou Monero"] classDef access fill:#c0392b,color:#fff classDef c2 fill:#e67e22,color:#fff classDef enum fill:#f39c12,color:#fff classDef backup fill:#8e44ad,color:#fff classDef exfil fill:#2980b9,color:#fff classDef encrypt fill:#1a5276,color:#fff classDef impact fill:#1e3a5f,color:#fff class A access class B c2 class C enum class D backup class E exfil class F encrypt class G impact ``` ## Timeline ```mermaid timeline title Babuk - Linha do Tempo 2021-01 : Babuk identificado - primeiras amostras Windows 2021-03 : Variante ESXi/Linux descoberta (AvosLinux) 2021-04 : Ataque MPD Washington D.C. - 250GB dados policiais 2021-05 : Grupo anuncia apósentadoria após pressao FBI 2021-09 : Código-fonte vazado no XSS Forum por membro dissidente 2021-11 : Rook ransomware - primeiro derivado documentado 2022 : 9+ variantes ESXi derivadas em circulacao 2022-01 : Night Sky e PrideLocker usam código Babuk 2023 : Mario ESXi e LOCK File continuam ativos ``` ## Técnicas Utilizadas - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - enumeracao de rede - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - lista de 214 servicos alvo - [[t1057-process-discovery|T1057 - Process Discovery]] - lista de 185 processos alvo - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - net view / net share - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - varredura recursiva - [[t1106-native-api|T1106 - Native API]] - chamadas Win32 diretas para cifragem - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - configuração cifrada em recursos - [[t1027-002-software-packing|T1027.002 - Software Packing]] - executavel empacotado - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - AV e EDR desativados - [[t1489-service-stop|T1489 - Service Stop]] - 214 servicos incluindo backup e segurança - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - vssadmin delete shadows - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - scripts de execução - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - dados pre-cifragem - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - ECDH Curve25519 + ChaCha8 ## Detecção > [!warning] Variantes ESXi - Defesa Específica Necessaria > As variantes Babuk para VMware ESXi operam em ambiente sem AV tradicional. Monitoramento via syslog do ESXi e detecção de parada massiva de VMs sao os únicos controles compensatorios eficazes. Qualquer processo desconhecido executando `esxcli vm process kill` deve acionar alerta critico imediato. **Indicadores comportamentais:** - Mutex `DoYouWantToHaveSexWithCuongDong` presente na memoria - assinatura definitiva do Babuk original - Execução em serie de `sc stop` para mais de 200 servicos em intervalo menor que 5 minutos - Criação de `How To Restore Your Files.txt` em múltiplos diretorios simultaneamente - Processo desconhecido executando `esxcli` com parametros de parada de VMs em host ESXi - Arquivos `.vmdk` sendo modificados por processo fora do contexto do hypervisor - Shadow copies deletadas imediatamente após login de conta administrativa **Sigma recomendado:** - `proc_creation_win_susp_service_stop_batch.yml` - `proc_creation_win_vssadmin_delete_shadows.yml` - `file_event_win_ransomware_babuk_note.yml` - Regra ESXi: monitorar `esxcli vm process kill` por processos nao-administrativos ## Relevância LATAM/Brasil O [[s0638-babuk|Babuk]] e suas variantes derivadas do código vazado afetaram organizacoes brasileiras em 2022-2023. O Rook ransomware - derivado direto do Babuk - foi documentado em ataques contra empresas de manufatura e logistica no Brasil. A variante ESXi representa risco particular para data centers brasileiros com alta adocao de VMware: provedores de hosting, bancos regionais e operadoras de telecomúnicacoes com infrastructure virtualizada estao no perfil de risco. O ataque ao MPD Washington D.C. demonstrou que o grupo nao tem restricoes sobre o tipo de alvo - incluindo orgaos de segurança pública - modelo que foi adotado por grupos derivados que afetaram prefeituras e secretarias de segurança no Brasil em 2022-2023 com variantes baseadas no código vazado. ## Referências - [MITRE ATT&CK - S0638](https://attack.mitre.org/software/S0638) - [McAfee - Babuk Analysis](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/babuk-ransomware/) - [Chuong Dong - Babuk Technical Analysis](https://chuongdong.com/reverse%20engineering/2021/01/03/BabukRansomware/) - [Varonis - Babuk Source Code Leak Impact](https://www.varonis.com/blog/babuk-ransomware) - [Recorded Future - Babuk ESXi Variants](https://www.recordedfuture.com/babuk-ransomware-source-code-leak)