Technical Analysis of Babuk Ransomware

By Alexandre Mundo, Thibault Seret, Thomas Roccia and John Fokker

Introduction

Babuk ransomware is a new ransomware threat discovered in 2021 that attacked at least five big enterprises, with one already paying the criminals $85,000 after negotiations. This ransomware, as other variants, is deployed in the network of enterprises that the criminals carefully target and compromise. This modus operandi is known as the Big-Game hunting strategy.

The group behind Babuk has also adopted the same strategies as other ransomware groups and has leaked the stolen data.

The sample analyzed in this report has the following hash:
8203c2f00ecd3ae960cb3247a7d7bfb35e55c38939607c85dbdb5c92f0495fa9.

This hash is related to version 1 of Babuk. It comes as an executable of 32 bits compiled in Visual C/C++ and has a small size of 30kb. This initial version is neither protected nor obfuscated.

In this report, McAfee Advanced Threat Research (ATR) provides a deep insight of this new ransomware variant called Babuk.

Summary of Findings

  • Babuk ransomware is a new ransomware family originally detected at the beginning of 2021.
  • Its operators adopted the same operating methods as other ransomware families and leaked the stolen data.
  • Babuk’s codebase and artefacts are highly similar to Vasa Locker’s.
  • Babuk advertises on both English-speaking and Russian-speaking forums.
  • The individuals behind Babuk ransomware have explicitly expressed themselves negatively against the BlackLivesMatter (BLM) and LGBT communities.
  • At least 5 companies have been breached as of January 15, 2021.
  • The ransomware supports command line operation and embeds three different built-in commands used to spread itself and encrypt network resources.
  • It checks the services and processes running so it can kill a predefined list and avoid detection.
  • There are no local language checks, in contrast to other ransomware gangs that normally spare devices in certain countries.
  • The limited diffusion of the ransomware may indicate that those behind it are not working within an organized group or with other partners.
  • The most recent variant has been spotted packed (see the ‘Additional Resources’ section).

 

Firmenkontakt und Herausgeber der Meldung:

McAfee GmbH
Ohmstr. 1
85716 Unterschleißheim
Telefon: +49 (89) 3707-0
Telefax: +49 (89) 3707-1199
http://www.mcafee.de

Ansprechpartner:
Stephanie Yilmaz
Hotwire
E-Mail: stephanie.yilmaz@hotwireglobal.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel