Dati importanti su un responsabile di una operazione di ransomware ormai dismessa, Babuk. Identificato lo sviluppatore malato di cancro che l’anno scorso ha diffuso il codice sorgente
Un ricercatore ha diffuso nuove informazioni di intelligence attorno alla vicenda che vede la cyber gang Babuk e gli eventuali nuovi re-branding.
Un responsabile per Babuk
E’ di settembre scorso (04/09/2021, la vicenda raccontata da Security Affairs – Pierluigi Paganini) il fatto secondo il quale lo sviluppatore dello strumento ransomware, utilizzato dal gruppo Babuk, avrebbe diffuso online il codice sorgente dello stesso, come a segnare un fine vita per le operazioni criminali fino ad allora condotte.
La base del gesto, portato a termine sul noto forum underground XSS, era da ricercarsi in un momento personale particolarmente difficile, che lo sviluppatore stava vivendo con la diagnosi di un tumore ai polmoni.
Fino a quel momento il leak era stato ricondotto a “dyadka0220”, questo il nome utente che ha operato il gesto. Si scriveva di un 17enne residente in Russia.
L’evoluzione intelligence di oggi
Il ricercatore 3xp0rt, ha diffuso ieri (26 maggio 2022) nuovi risultati di ricerca su questa cyber gang. Un ruolo fondamentale per appunti come questi, lo gioca l’identificazione di uno degli sviluppatori di Babuk. In effetti sembra si sia arrivati al nome e cognome reale del 17enne che a settembre scorso operò il leak completo del ransomware, durante la sua grave malattia.
Nikolai Arkhipov è il suo nome, vive in Russia e sono stati tracciati anche i dati relativi al suo social network VK e Telegram. 3xp0rt, parla di Ryazan come città di appartenenza, Russia occidentale.
I dati fondamentali della ricerca su Babuk
Nome reale: Nikolai Arkhipov;
Data di nascita: 08/06/1998
VK id: 168013415
Telegram: atom1336
Email: nikolya.arkhipov.98@mail.ru
Inoltre faccio notare che le operazioni di Babuk, al momento risultano sospese almeno da luglio 2021. Il proprio blog, utilizzato per esporre le vittime e le proprie rivendicazioni di attacco è online sotto rete Tor, ma non più aggiornato.
Nel frattempo, il leak del codice sorgente di Babuk, ha fatto nascere altre cyber gang che ispirano il proprio ransomware a questo software malevolo, ormai pubblicamente disponibile. ROOK, che al momento sembra abbia sospeso la propria attività e la più recente Dark Angels.
Esiste una forte correlazione tra il malware DarkAngels e il codice ransomware Babuk esistente. È comune per gli attori delle minacce sfruttare il codice esistente, modificarlo e rinominarlo (suggerisce una ricerca recente di Cyble).