Los responsables del ramsomware Babuk amenazan a la veterana cadena de tiendas de telefonía móvil The Phone House con publicar los datos personales de 3 millones de clientes de sus comercios en España si no pagan una suma económica no revelada. Los datos publicados como prueba contienen información sensible como DNI, cuenta bancaria y número de IMEI.
El blog de filtraciones de Babuk alojado en la dark web1 publicaba el pasado domingo una nueva entrada, en la que amenaza directamente a la cadena de tiendas española de telefonía móvil The Phone House. Según la publicación, los responsables del software malicioso tienen en su poder 100 GB con el contenido de 10 bases de datos Oracle que almacenan datos personales de 3 millones de clientes y empleados.
Para demostrar que se trata de una amenaza real el sitio publica 7 capturas de pantalla con extractos parciales del contenido de los archivos exportados, donde se puede comprobar que contienen datos personales como nombre y apellidos, DNI, email, teléfono, dirección postal, fecha de nacimiento, sexo, número de cuenta bancaria e incluso número de IMEI del terminal.
En total son 10 ficheros .dmp, con nombres como infoventas, ventasonline, seguros o smarthouse.
Babuk es un nuevo ramsomware que ha empezado a actuar en 2021 y que selecciona cuidadosamente sus objetivos entre grandes empresas con una facturación mínima de 4 millones de dólares. Según McAfee2 hasta la fecha ha afectado al menos a 5 compañías y se sabe que una de ellas pagó 85.000 $ para recuperar sus datos.
En el foro raidforums.com el usuario biba99 se responsabiliza de la actividad del ramsomware, publica las amenazas y finalmente las cumple en caso de no ver atendida su petición.
En el caso de The Phone House España, explica que revelará el contenido completo de la información en su blog, foros y que enviará copias a los competidores de la cadena de tiendas de telefonía.
Hemos descargado el volcado completo de tus 10 bases de datos de Oracle, que contienen información de GDPR (nombre completo, fecha de nacimiento, correo electrónico, teléfono, dirección, nacionalidad, IMEI, etc.) de más de 3 MILLONES de clientes y empleados.
Si no pagas, toda esta información se publicará en nuestro blog público, foros de la darknet y será enviada a todos tus socios y competidores.
Los cibercriminales cumplen su amenaza
Los cibercriminales trataron de presionar a la empresa con la publicación de los primeros datos. El martes 20 de abril de 2021 la publicación en el blog de Babuk en darknet enlaza a un dominio onion donde se puede acceder a dos ficheros que supuestamente contienen parte de los datos filtrados.
SEGUROSPH.POLICY_RECEIPTS_2.7m.csv.gz contiene el DNI, nombre, apellidos y número de cuenta de 2.672.024 titulares de seguros. El otro fichero, DWH_CUSTOMER_DATA_202104160010_13_million.csv contiene la friolera de 13.015.350 de registros.
Finalmente el jueves 22 de abril se publicó una segunda URL en la darkweb con todo el contenido de las bases de datos repartido en un total de 15 archivos.
Puedes comprobar si tus datos aparecen en la filtración: Have I been pwned? añade los datos de clientes filtrados de Phone House
- Accesible en
wavbeudogz6byhnardd2lkp2jafims3j7tj6k6qnywchn2csngvtffqd.oniondesde la red TOR. - Technical Analysis of Babuk Ransomware
