Los responsables del ramsomware Babuk amenazan a la veterana cadena de tiendas de telefonía móvil The Phone House con publicar los datos personales de 3 millones de clientes de sus comercios en España si no pagan una suma económica no revelada. Los datos publicados como prueba contienen información sensible como DNI, cuenta bancaria y número de IMEI.
Actualizamos tras la publicación de la totalidad de los datos por parte de los cibercriminales.
El blog de filtraciones de Babuk alojado en la dark web1 publicaba el pasado domingo una nueva entrada en la que amenaza directamente a la cadena de tiendas española de telefonía móvil The Phone House. Según la publicación, los responsables del software malicioso tienen en su poder 100 GB con el contenido de 10 bases de datos Oracle que contienen los datos personales de 3 millones de clientes y empleados.
Para demostrar que se trata de una amenaza real el sitio publica 7 capturas de pantalla con extractos parciales del contenido de los archivos exportados, donde se puede comprobar que contienen datos personales como nombre y apellidos, DNI, email, teléfono, dirección postal, fecha de nacimiento, sexo, número de cuenta bancaria e incluso número de IMEI del términal.
En total son 10 ficheros .dmp con nombres como infoventas, ventasonline, seguros o smarthouse.
Babuk es un nuevo ramsomware que ha empezado a actuar en 2021 y que selecciona cuidadosamente sus objetivos entre grandes empresas con una facturación mínima de 4 millones de dólares. Según McAfee2 hasta la fecha ha afectado al menos a 5 compañías y se sabe que una de ellas pagó 85.000 $ para recuperar sus datos.
En el foro raidforums.com el usuario biba99 se responsabiliza de la actividad del ramsomware, publica las amenazas y finalmente las cumple en caso de no ver atendida su petición. En el caso de The Phone House España, explica que revelará el contenido completo de la información en su blog, foros y que enviará copias a los competidores de la cadena de tiendas de telefonía.
We have downloaded full dump of your 10 Oracle databases which contains GDPR information(full name, date of birth, email, phone, address, nationality, imei, etc) of more than 3 MILLION clients and employees.
If you do not pay - all this information will be published on our public blog, darknet forums, sended to all your partners and competitors.
Los cibercriminales cumplen su amenaza
Los cibercriminales trataron de presionar a la empresa con la publicación de los primeros datos. El martes 20 de abril de 2021 la publicación en el blog de Babuk en darknet enlaza a un dominio onion donde se puede acceder a dos ficheros que supuestamente contienen parte de los datos filtrados.
SEGUROSPH.POLICY_RECEIPTS_2.7m.csv.gz contiene el DNI, nombre, apellidos y número de cuenta de 2.672.024 titulares de seguros. El otro fichero, DWH_CUSTOMER_DATA_202104160010_13_million.csv contiene la friolera de 13.015.350 de registros.
Finalmente el jueves 22 de abril se publicó una segunda URL en la darkweb con todo el contenido de las bases de datos repartido en un total de 15 archivos.
Puedes comprobar si tus datos aparecen en la filtración: Have I been pwned? añade los datos de clientes filtrados de Phone House
- Accesible en
wavbeudogz6byhnardd2lkp2jafims3j7tj6k6qnywchn2csngvtffqd.oniondesde la red TOR. - Technical Analysis of Babuk Ransomware
