Alors que le gang Babuk a mis fin à son activité rançongiciel fin avril, son malware vient de refaire surface deux mois plus tard. En cause : une fuite du kit de création du rançongiciel.

« Chaotique » serait le bon adjectif pour décrire le parcours de Babuk Locker, véritable étoile filante du monde cybercriminel. Repéré en janvier 2021 par le Bleeping Computer, le gang rançongiciel s’est rapidement fait remarquer avec une communication abondante et la publication d’une prétendue charte éthique. Preuve de son verbiage abondant, en 4 mois d’existence, il a effectué deux changements de nom, de Babuk à Babyk puis Baruk.

En ce court laps de temps, le groupe a réussi quelques cyberattaques, par exemple contre la franchise NBA des Houston Rockets et contre la chaîne de vente de smartphone espagnole Phone House. Puis, fin avril, Babuk a frappé un grand coup, ou plutôt, un trop grand coup : son rançongiciel a contaminé le département de la police métropolitaine de Washington DC. Connue sous l’acronyme MPD, cette division est une des plus grandes unités de police des États-Unis, et elle a dans son périmètre la Maison-Blanche, lieu du pouvoir présidentiel.

Après le rançonnage de trop, Babuk a changé son activité. // Source : La Rançon (1996)

Babuk, une retraite précipitée

Le MPD a refusé de payer immédiatement la rançon pour inverser le chiffrement, ce qui a déclenché la deuxième partie du schéma d’extorsion de Babuk : le chantage à la fuite de données. Sur son blog, le gang s’est vanté d’avoir extrait 250 gigaoctets de données appartenant à la police : des rapports d’enquêtes, des relevés de commissions disciplinaires, des portraits de prévenus, et surtout, des documents sur les criminels locaux. Babuk a ainsi menacé le MPD de révéler aux gangs locaux l’identité des sources policières. Autrement dit, il a menacé de mettre des vies en danger face aux représailles.

Si les opérateurs de rançongiciels ont diverses méthodes pernicieuses, ils ne mettent jamais aussi directement en balance la vie d’individus. Pour cause : un tel crime les ferait basculer dans un autre champ de la loi aux côtés du terrorisme, et déclencherait des mesures bien plus répressives de la part des autorités.

Justement, peu après la publication des menaces et l’ouverture d’une enquête du FBI, Babuk a subitement pris sa retraite. Les opérateurs ont d’abord annoncé qu’ils arrêtaient toute activité, puis se sont repris, indiquant qu’ils continueraient une activité de chantage à la donnée, mais sans la partie chiffrement. Autrement dit, ils demanderont aux victimes de payer pour récupérer leurs données, et en cas de refus, ils les publieront sur leur site. Babuk abandonné, PayLoadBin a été créé.

Le rançongiciel Babuk de retour… mais sans ses opérateurs

Mais l’histoire ne s’arrête pas là : à la suite de cette reconversion, le kit pour créer son rançongiciel a fuité, et est devenu récupérable gratuitement deux mois plus tard, aux alentours du 26 juin. On parle d’un outil clé en main, utilisable par des cybercriminels de bas étage. Il suffit de rentrer quelques commandes pour mettre ses propres informations sur la demande de rançon et pour créer une clé de chiffrement pour chaque nouvelle cible. Pas besoin de s’occuper du fonctionnement du rançongiciel, l’outil prend tout en compte.

Comme le souligne The Record Media, difficile d’identifier l’origine de la fuite. Le gang l’a-t-il publié volontairement ? Se l’est-il fait pirater ? Le kit a-t-il fuité à la suite d’une vente ratée ? Quoiqu’il en soit, les jours étaient comptés avant que des malfrats s’en emparent. D’après le Bleeping Computer, ces craintes se sont réalisées à peine trois jours plus tard. Rien que sur la journée du 30 juin, plus de 70 personnes ont notifié qu’elles étaient touchées par le rançongiciel Babuk… opéré par une autre personne, qui ne donne d’autres informations que son adresse email.

Babuk, repris par des cybercriminels de bas étage

Là où le gang Babuk s’en prenait aux entreprises avec des demandes de rançons en centaines de milliers de dollars (voire en millions), l’exploitant du kit ne réclame qu’à peine 200 dollars, à payer en bitcoin. Ce comportement laisse entendre qu’il s’agirait d’une tentative opportuniste plutôt que de l’émergence d’une nouvelle organisation.

Ce pourrait être un problème : un rançongiciel mal contrôlé s’avère particulièrement destructif. Si les opérateurs ne maîtrisent pas le chiffrement de leur outil, ils pourraient se trouver dans une situation où, après le paiement, ils sont incapables d’inverser les dégâts causés. Quelques questions demeurent et détermineront les conséquences futures de la fuite : ce repreneur de Babuk est-il le premier d’une longue liste ? Babuk va-t-il devenir un rançongiciel qui vise le grand public ?

Crédit photo de la une : Marvel

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux