Grupo de ransomware filtró datos de importante departamento policial
Los operadores del ransomware Babuk Locker filtraron archivos personales pertenecientes a agentes de policía del Departamento de Policía Metropolitana de Washington, Estados Unidos. Esta institución también es conocida como MPD o Policía de DC. Vale la pena mencionar que las filtraciones de los datos se dieron después de que las negociaciones con los ciberdelincuentes se estancaran.
Los documentos publicados en el portal de filtraciones de la web oscura de Babuk Locker incluyen 150 MB de datos de archivos personales de los oficiales de la policía de DC.
“Las negociaciones llegaron a un callejón sin salida, la cantidad que nos ofrecieron no nos convenció. Por ello estamos publicando 20 archivos personales más sobre los oficiales, pueden descargar este archivo, la contraseña se publicará mañana”
Babuk Locker
El grupo de ransomware afirma que los datos se filtraron porque no llegaron a un acuerdo con el departamento policial. Según ellos, la cantidad de dinero que la policía de DC estaba dispuesta a pagar no coincidía con las demandas de rescate de Babuk Locker.
Babuk Locker agregó que todos los datos se filtrarían si la policía de DC no estaba dispuesta a cumplir con sus demandas. “Si durante el día de mañana no suben el precio, daremos a conocer todos los datos”, dijeron los operadores de ransomware.
En un principio no pudimos verificar de forma independiente si las afirmaciones del grupo de ransomware eran ciertas. Tampoco logramos confirmar si la policía de DC se ofreció a pagar algún rescate.
Babuk exigió $ 4 millones
“A pedido del Departamento de Policía Metropolitana, el FBI está ayudando con su investigación”, afirmó el martes el portavoz de la Policía de DC. Esta declaración confirma la veracidad de la filtración.
“El FBI apoya de forma rutinaria a nuestros socios encargados de hacer cumplir la ley brindándoles apoyo investigativo y recursos especializados cuando se solicitan. Todas las preguntas adicionales deben dirigirse al gobierno de DC”.
En una actualización del sitio de filtración de datos de Babuk que filtró un segundo conjunto de archivos protegidos con contraseña, los actores de amenazas publicaron capturas de pantalla que, según afirman, provienen de negociaciones entre ellos y la Policía de DC.
Estas capturas de chat muestran que el grupo de ransomware exigió $4 millones al MPD; mientras el MPD solo ofreció $100,000.
Según declaraciones del MPD, puede haber sido el FBI el que realizó la negociación o un servicio de negociación de ransomware de terceros
Incidente de ransomware confirmado por la policía de DC
El mes pasado, cuando el MPD confirmó el ataque, Babuk Locker dijo que habían comprometido las redes de la policía de DC. En aquel momento, Babuk Locker afirmó haber robado 250 GB de archivos sin cifrar.
En ese momento, la banda de ransomware también publicó capturas de pantalla de carpetas que contenían datos presuntamente robados durante la infracción.
Los nombres de las carpetas apuntan a archivos internos relacionados con operaciones policiales, informes de investigación y registros disciplinarios. También muestran archivos relacionados con pandilleros y ‘pandillas’ que operan en DC.
La policía de DC dijo que la filtración estaba siendo investigada para determinar el impacto total. El departamento de policía también contrató al FBI para que los ayudara a investigar el incidente.
El mes pasado, Babuk Locker también vulneró la red de los Houston Rockets de la NBA, que fue transparente sobre el ataque de ransomware.
Sorprendentemente, la banda de ransomware eliminó repentinamente los datos robados de los Houston Rockets de su sitio después de filtrarlos.
Planes para pasar a un modelo de “negocio” exclusivo de extorsión
Después de revelar su ataque a la red de la Policía de DC, los operadores de Babuk Locker publicaron y eliminaron dos anuncios importantes. Esto anuncios mostraban sus planes de cerrar operaciones y abrir el ransomware.
Un día después, el grupo de ransomware dijo que, en cambio, cerraría su programa de afiliados y pasaría a un modelo de extorsión. Este modelo no se basaría en cifrar los sistemas de las víctimas después de robar datos confidenciales.
Este movimiento también podría haber sido impulsado por vulnerabilidades que afectaron al descifrador de Babuk Locker descubierto por la empresa de ciberseguridad Emsisoft. Las vulnerabilidades descubiertas podrían destruir los archivos de las víctimas mientras se descifraban. Y, potencialmente, provocar pérdidas de ingresos para el grupo en el futuro si las víctimas se negaran a pagar los rescates.
Babuk Locker comenzó a operar en enero cuando también comenzaron a filtrar datos robados de sus objetivos en foros de ciberdelincuentes. Posteriormente comenzaron a filtrar los datos en su portal de filtración de datos.
Desde entonces, el grupo de ransomware ha ampliado lentamente sus operaciones a medida que reclutaba a más afiliados para comprometer aún más redes empresariales.