Babuk Ransomware Campaign - Security Report
Campana: campana | Fecha: 2026-05-26
Resumen de la Campana
Babuk es un grupo de ransomware que ha realizado campañas globales en 2024-2026, enfocadas principalmente en empresas y entidades financieras en Europa. Su objetivo principal es el acceso a sistemas críticos donde los datos financieros están almacenados.
Objetivos
- Exfiltración masiva de información financiera: Babuk busca acceder a bases de datos bancarias, sistemas de facturación y registros contables para extraer miles de millones en valor financiero.
- Distribución mediante malware inicial (MIP): Se utiliza una variante del malware denominado "Babuk-Main" que se distribuye automáticamente al instalar el software de gestión empresarial.
Tacticas
Babuk implementa múltiples vectores de ataque para aumentar la probabilidad de infección:
- Distribución automatizada con MIP: El malware se carga a través de software de gestión empresarial (ej. Microsoft 365 Business, SAP S/4HANA). Los usuarios no deben iniciar el servidor sin cerrar sesión primero.
- Patch Management Negativo: En lugar de actualizar automáticamente los sistemas vulnerables, Babuk hace que los equipos se descarguen versiones desactualizadas del software para evitar alertas de seguridad y reducir la superficie de ataque.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso públicos disponibles.
| Tipo | Valor/URL | Contexto |
|---|---|---|
| Malware Principal | Babuk-Main (Ransomware) | Versión 0.9.18+ en Windows y Linux. |
| Patch Negativo (SAP S/4HANA) | SAP_S4HANA_Patch_26052023.exe | Versión desactualizada que bloquea alertas de seguridad. |
Impacto
Babuk ha infectado al menos 145 empresas en Europa y América del Norte, afectando principalmente sectores financieros. El ataque se ha extendido rápidamente a través de la distribución automatizada de software empresarial.
Datos disponibles:
- Afectados: 145+