O Babuk/Babuk2 é o grupo de ransomware que ocupa a 2ª. Posição em número de incidentes em nossas observações no Brasil, com 12 incidentes. Ele surgiu em dezembro de 2020 e ganhou notoriedade em 2021 com ataques a grandes empresas e organizações, em diversas partes do mundo. Operava inicialmente como Ransomware-as-a-Service (RaaS), usando táticas de dupla extorsão: criptografava dados e ameaçava vazar informações roubadas. Em 2021 o grupo enfrentou divisões internas, o que levou ao vazamento do seu código-fonte. Isso resultou no surgimento de variantes como Babuk V2 e Babuk Tortilla, além de outras famílias de ransomware que reutilizaram o mesmo código, como Buhti e ESXiArgs. O Babuk original encerrou suas operações em 2021, mas o nome foi reaproveitado. O Babuk2, ou Babuk-Bjorka, emergiu em janeiro de 2025, mas é amplamente considerado uma operação falsa. Ele reivindica ataques a grandes empresas, mas análises indicam que recicla dados de ataques anteriores de outros grupos, como RansomHub, LockBit e FunkSec, sem evidências de novas invasões. O Babuk/Babuk2 frequentemente explora vulnerabilidades conhecidas em servidores e sistemas expostos. As principais CVEs associadas ao Babuk incluem:
CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207 (ProxyShell)
- Vulnerabilidades que afetam o Microsoft Exchange Server e, quando combinadas, permitem a execução remota de código (RCE) sem autenticação.
- Ano da descoberta: 2021
- CVSS: CVE-2021-34473: 9.8 (Crítica), CVE-2021-34523: 9.0 (Crítica) e CVE-2021-31207: 7.2 (Alta).
- EPSS: CVE-2021-34473: 0.974 (97.4% de chance de exploração), CVE-2021-34523: 0.965 (96.5% de chance de exploração) (Crítica) e CVE-2021-31207: 0.912 (91.2% de chance de exploração).
- Há solução para essas vulnerabilidades?
- Sim. As três vulnerabilidades, coletivamente conhecidas como vulnerabilidades ProxyShell no Microsoft Exchange Server, possuem correções disponíveis que foram lançadas em 2021. A Microsoft corrigiu CVE-2021-31207 em 11 de maio de 2021, como parte das atualizações de segurança do Exchange Server. As vulnerabilidades CVE-2021-34473 e CVE-2021-34523 foram corrigidas em 13 de julho de 2021, com atualizações cumulativas e patches de segurança.
CVE-2021-27065 (Proxylogon)
- Vulnerabilidade no Microsoft Exchange que permite a escrita arbitrária de arquivos, frequentemente explorada em conjunto com outras falhas para obter controle total do sistema.
- Ano da descoberta: 2021
- CVSS: 7.8 (Alta).
- EPSS: 0.975 (97.5% de chance de exploração ativa em 31/3/2025).
- Há solução para essas vulnerabilidades?
- Sim. A Microsoft lançou patches para o ProxyLogon, incluindo CVE-2021-27065, em 2 de março de 2021, como parte das atualizações de segurança para o Exchange Server 2013, 2016 e 2019.
- Vulnerabilidade de estouro de heap no OpenSLP do VMware ESXi, que permite execução remota de código (RCE) em servidores ESXi expostos à internet.
- Ano da descoberta: 2021
- CVSS: 8.8 (Alta).
- EPSS: 0.962 (96.2% de chance de exploração ativa em 31/3/2025).
- Há solução para essas vulnerabilidades?
- Sim. A VMware lançou um patch para essa vulnerabilidade em 23 de fevereiro de 2021, como parte do boletim de segurança VMSA-2021-0002.
Opinião [ CYLO ] Cybersecurity Team:
Os ataques do Babuk/Babuk2 continuam, apesar das vulnerabilidades (como ProxyShell, ProxyLogon e CVE-2021-21974) terem sido corrigidas há quase quatro anos, porque muitos sistemas ainda não foram atualizados, permanecendo vulneráveis. Além disso, os ataques de 2021 deixaram backdoors ou credenciais roubadas, que continuam sendo usadas, de tal sorte que o Babuk2 recicla dados de vazamentos antigos para extorsão, sem realizar novos ataques e a falta de monitoramento adequado aos ativos de rede permite que atacantes já infiltrados operem sem detecção.
O nosso time de inteligência em cibersegurança pode auxiliar a sua empresa a se defender de ataques desse tipo com implementação de controles, processos bem definidos e com gestão de vulnerabilidades. CONHEÇA NOSSOS SERVIÇOS.
Se você estiver com uma emergência, nós podemos te ajudar:
Fale com um especialista da [ CYLO ]
No nosso próximo post analisaremos o Akira.
