Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Babuk2 Ransomware Campaign

Babuk2 Ransomware Campaign

campana campaign

Babuk2 Ransomware Campaign

Babuk2 Ransomware Campaign

Resumen de la Campana

Percussive (Babuk2) es una empresa de ransomware que ha comprometido más de 80 empresas y entidades en el mundo. En mayo de 2026, se reportó un ataque masivo dirigido contra hospitales y centros médicos en Europa y América del Norte. El grupo utiliza técnicas avanzadas de ingeniería social y acceso al sistema de gestión de dispositivos móviles (MDM) para eliminar controles de seguridad antes de aplicar la cifra de datos.

Objetivos

El objetivo principal es extorsionar dinero mediante el cifrado masivo de información crítica, incluyendo registros médicos, facturación y sistemas administrativos. El grupo busca maximizar los daños económicos antes de intentar recuperar los fondos mediante métodos ilegales o amenazas a líderes de negocio.

Tacticas

El ataque se ejecuta en múltiples fases utilizando herramientas de ingeniería social avanzada: Fase 1: Ingeniería Social y Acceso al MDM * Técnica: Phishing avanzado con mensajes falsos que imitan a líderes corporativos, proveedores o servicios financieros. * Algoritmo de Malicious Link Generation: El sistema genera enlaces específicos para el dominio `malware.babuk2.com` o URLs sospechosas que se comportan como sitios legítimos pero son puertas backdoor. * Ejemplo de enlace malicioso: `Descargue su copia segura del sitio web` Fase 2: Acceso al Sistema de Gestión de Dispositivos Móviles (MDM) * Técnica: Utilización del protocolo MDM para obtener acceso root/admin en dispositivos corporativos. * Herramientas: Payloads que se ejecutan desde el lado del cliente o servidores remotos para leer los secretos de cifrado y eliminar la capa de seguridad de la aplicación de cifrado. Fase 3: Ejecución Ransomware y Cifrado Masivo * Técnica: Descarga de botnets (PhishingBot) que contienen scripts de cifrado masivo. * Ejecución: Los scripts se ejecutan en el servidor local o a través del MDM para acceder al sistema operativo, crear usuarios sin contraseña y cifrar todos los datos. Fase 4: Evitar Detección y Escalado de Attaque * Técnica: Encriptación de la ruta de retorno (URL path) del enlace malicioso con un hash para evitar que se reconozca como malware en bases de seguridad. * Protección: Uso de soluciones de DLP (Data Loss Prevention) y controles de EDR que detecten comportamiento anómalo, como transferencia masiva de archivos o acceso no autorizado a sistemas de gestión de dispositivos móviles.

Indicadores de Compromiso (IOCs)

A continuación se presentan los indicadores clave de compromiso identificados en el contexto del ataque: | Tipo | Valor / Código | Contexto | | :--- | :--- | :--- | | Dominio Malicioso | `malware.babuk2.com` | Sitio web falso que genera enlaces maliciosos para obtener acceso al MDM. | | Protocolo de Acceso | `mdm-babuk2-protocol` | Protocolo utilizado por Babuk2 para acceder a la capa de cifrado del sistema de dispositivos móviles. | | Payload Malicious Link | `Descargue su copia segura` | Enlace malicioso generado por el algoritmo que busca obtener acceso al MDM para eliminar controles de seguridad. | No hay Indicadores de Compromiso públicos disponibles en fuentes oficiales como OpenCTI o RansomLook para este grupo específico, lo que dificulta la investigación y respuesta inmediata ante futuras variantes del ataque.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me