Da alcuni giorni su Twitter e alcuni forum rimbalza in rete la notizia di un nuovo attacco attraverso il malware Babuk Locker. Si tratta del ransomware che dall’inizio del 2021 ha mietuto vittime indistintamente tra aziende del comparto trasporti, della sanità, dell’elettronica e, non ultimo, il Metropolitan Police Department (MPD) del Distretto della Columbia, riuscendo in quel caso a sottrarre 250GB di dati chiedendo poi un riscatto di 4 milioni di dollari, pena la pubblicazione di tutto online.
Questa volta però le vittime non sono più le grandi società o gli enti pubblici, bensì le persone fisiche: dopo l’eco mediatico dell’attacco al MPD, Babuk aveva chiuso – temporaneamente a quanto pare – i battenti ed è ora passata ad un modello di estorsione dei dati non crittografato denominato PayLoad Bin.
Il primo a scoprire il nuovo attacco è stato il ricercatore Kevin Beaumont che il 27 giugno aveva notato come fosse stato caricato sul portale Virus Total, in vista di un’analisi del malware, un generatore del ransomware Babuk.
Un modello by default, pronto all’uso, a cui mancava solo la “customizzazione” con l’indicazione delle informazioni di contatto da allegare alla richiesta di riscatto prima di far partire il file eseguibile per infettare sistemi Windows, VMware ESXi, Network Attached Storage (NAS) x86 e NAS ARM.
Talmente pronto e appetibile che nel giro di poche ore sono stati segnalati numerosi tentativi di attacco: diverse le segnalazioni su Reddit e Twitter da parte di utenti, spesso sprovveduti, colpiti da Babuk tra il 28 ed il 30 giugno.
Come analizzato dal Malware Hunter Team di Vitali Kremez – noto, tra le altre cose, per aver scoperto Zeppelin – decine e decine di persone si sono ritrovate con i file criptati, tutti aventi l’estensione “.babuk”, e richieste di riscatto in bitcoin di circa 200$ in un file denominato “How To Restore Your Files.txt”
Rispetto al passato non è cambiata solamente la tipologia di bersagli ma anche la modalità di comunicazione per il pagamento del riscatto: mentre fino a qualche mese fa, o meglio all’attacco alla Polizia di Washington, si prevedeva l’utilizzo di un portale su tor per effettuare i pagamenti, ora i cybercriminali comunicano attraverso l’indirizzo e-mail “babukransom@tutanota.com”.
