Se han desarrollado nuevas versiones del ransomware Albabat, que permiten a los actores de amenazas atacar múltiples sistemas operativos (SO) y mejorar la eficiencia de sus ataques.
Investigadores de Trend Micro afirmaron que la versión 2.0 del ransomware no solo ataca Microsoft Windows, sino que también recopila información del sistema y hardware en Linux y macOS.
Esta versión utiliza una cuenta de GitHub para almacenar y distribuir archivos de configuración del ransomware.
Este uso de GitHub está diseñado para optimizar las operaciones.
Los investigadores también encontraron evidencia del desarrollo de otra variante del ransomware Albabat, la 2.5, que actualmente no se ha utilizado de forma activa.
Los hallazgos demuestran la rápida evolución de las herramientas y técnicas del ransomware para expandir y mejorar los ataques.
Albabat es una variante del ransomware escrita en Rust, que se utiliza para identificar y cifrar archivos. Se observó por primera vez en noviembre de 2023.
Trend Micro decodificó la nueva versión del ransomware para comprender sus configuraciones.
La versión 2.0.0 solo ataca ciertos archivos para su cifrado, como themepack, .bat, .com, .cmd y .cpl.
Ignora carpetas como Búsquedas, AppData, $RECYCLE.BIN e Información del Volumen del Sistema.
Además, la nueva versión elimina procesos como taskmgr.exe, processhacker.exe, regedit.exe, code.exe, excel.exe, powerpnt.exe, winword.exe y msaccess.exe. Es probable que esto ayude a evadir la detección y a deshabilitar herramientas o servicios de seguridad que podrían interferir con el proceso de cifrado.
Los investigadores observaron que el ransomware se conecta a una base de datos PostgreSQL para rastrear infecciones y pagos. Estos datos ayudan a los atacantes a solicitar rescates, monitorear infecciones y vender los datos de las víctimas.
Cabe destacar que las configuraciones incluyen comandos para Linux y macOS, lo que indica que se han desarrollado binarios para estas plataformas.
Los investigadores también descubrieron que el repositorio de GitHub billdev.github.io se utiliza para almacenar y distribuir archivos de configuración del ransomware Albaba.
Esta página de GitHub se creó hace poco más de un año, el 27 de febrero de 2024. La cuenta está registrada con el nombre «Bill Borguiann», que probablemente sea un alias o seudónimo.
Aunque el repositorio utilizado por el ransomware es actualmente privado, sigue siendo accesible a través de un token de autenticación observado en Fiddler durante la conexión.
El historial de confirmaciones del repositorio demuestra un desarrollo activo y continuo del ransomware, donde el usuario modifica principalmente el código de configuración. La confirmación más reciente fue el 22 de febrero de 2025.
También se descubrió una carpeta llamada 2.5.x en el repositorio de GitHub, lo que sugiere que se está desarrollando una nueva versión del ransomware.
No se encontró ningún binario de ransomware en el directorio 2.5.x. En su lugar, se observó un archivo config.json.
Esta configuración incluía nuevas billeteras de criptomonedas para Bitcoin, Ethereum, Solana y BNB. Aún no se han detectado transacciones en estas billeteras.
Trend Micro afirmó que los hallazgos demuestran la importancia de monitorear los indicadores de compromiso (IoC) para anticiparse a amenazas en constante evolución como Albaba.
El seguimiento de los IoC proporciona información sobre los patrones de ataque, lo que permite crear estrategias de prevención proactivas.
