Appunti sulla cyber gang Babuk ransomware

Dati importanti su un responsabile di una operazione di ransomware ormai dismessa, Babuk. Identificato lo sviluppatore malato di cancro che l’anno scorso ha diffuso il codice sorgente

Un ricercatore ha diffuso nuove informazioni di intelligence attorno alla vicenda che vede la cyber gang Babuk e gli eventuali nuovi re-branding.

Un responsabile per Babuk

E’ di settembre scorso (04/09/2021, la vicenda raccontata da Security Affairs – Pierluigi Paganini) il fatto secondo il quale lo sviluppatore dello strumento ransomware, utilizzato dal gruppo Babuk, avrebbe diffuso online il codice sorgente dello stesso, come a segnare un fine vita per le operazioni criminali fino ad allora condotte.

La base del gesto, portato a termine sul noto forum underground XSS, era da ricercarsi in un momento personale particolarmente difficile, che lo sviluppatore stava vivendo con la diagnosi di un tumore ai polmoni.

Fino a quel momento il leak era stato ricondotto a “dyadka0220”, questo il nome utente che ha operato il gesto. Si scriveva di un 17enne residente in Russia.

L’evoluzione intelligence di oggi

Il ricercatore 3xp0rt, ha diffuso ieri (26 maggio 2022) nuovi risultati di ricerca su questa cyber gang. Un ruolo fondamentale per appunti come questi, lo gioca l’identificazione di uno degli sviluppatori di Babuk. In effetti sembra si sia arrivati al nome e cognome reale del 17enne che a settembre scorso operò il leak completo del ransomware, durante la sua grave malattia.

Nikolai Arkhipov è il suo nome, vive in Russia e sono stati tracciati anche i dati relativi al suo social network VK e Telegram. 3xp0rt, parla di Ryazan come città di appartenenza, Russia occidentale.

I dati fondamentali della ricerca su Babuk

Nome reale: Nikolai Arkhipov;

Data di nascita: 08/06/1998

VK id: 168013415

Telegram: atom1336

Email: nikolya.arkhipov.98@mail.ru

Inoltre faccio notare che le operazioni di Babuk, al momento risultano sospese almeno da luglio 2021. Il proprio blog, utilizzato per esporre le vittime e le proprie rivendicazioni di attacco è online sotto rete Tor, ma non più aggiornato.

Nel frattempo, il leak del codice sorgente di Babuk, ha fatto nascere altre cyber gang che ispirano il proprio ransomware a questo software malevolo, ormai pubblicamente disponibile. ROOK, che al momento sembra abbia sospeso la propria attività e la più recente Dark Angels.

Esiste una forte correlazione tra il malware DarkAngels e il codice ransomware Babuk esistente. È comune per gli attori delle minacce sfruttare il codice esistente, modificarlo e rinominarlo (suggerisce una ricerca recente di Cyble).

Dario Fadda

IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.

Want to comment on? Turn on the discussion

Back to top