Специалисты SentinelOne обнаружили несколько хак-групп, использующих попавший в открытый доступ исходный код шифровальщика Babuk. Злоумышленники создают на его основе собственную малварь, ориентированную на VMware ESXi.

Напомню, что семейство вымогателей Babuk, нацеленное как на Windows, так и на Linux, было обнаружено и описано экспертами в январе 2021 года, и тогда шифровальщик использовался в атаках на многочисленные организации.

В сентябре 2021 года исходный код вымогателя слил в сеть один из его операторов, что позволило ИБ-исследователям создать бесплатный инструмент для расшифровки пострадавших файлов. Однако вместе с этим утечка исходников породила волну «последователей»: появились такие вымогатели как Rook, RTM Locker и Rorschach (он же BabLock), основанные на исходном коде Babuk и нацеленные на серверы ESXi.

Как теперь сообщают аналитики SentinelOne в своем новом отчете, в период со второй половины 2022 по 2023 год исходный код Babuk использовался для создания около десяти программ-вымогателей, ориентированных на серверы VMware ESXi.

«Существует заметная тенденция: злоумышленники все чаще используют билдер Babuk для разработки программ-вымогателей для ESXi и Linux, —  пишут эксперты. — Это особенно заметно, когда [код] используется злоумышленниками с небольшими ресурсами, поскольку они реже значительно меняют исходный код Babuk. Утечка исходного кода позволяет злоумышленникам нацеливаться на Linux-системы, хотя у них самих может не хватать опыта для создания работающих программ [для этой ОС]».

В итоге в список семейств вымогателей, которые использовали Babuk для создания своих шифровальщиков, выглядит так: Play (.FinDom), Mario (.emario), Conti POC (.conti), REvil или Revix (.rhkrc), Cylance , Dataf Locker, Rorschach или BabLock , Lock4 и RTM Locker.

«Хотя связи с REvil пока весьма предварительные, существует вероятность, что перечисленные группы — Babuk, Conti и REvil — передали разработку проекта шифровальщика для ESXi одному и тому же разработчику», — отмечают SentinelOne.

В компании отмечают, что малварь ESXiArgs, вызвавшая немало проблем в начале 2023 года, имела очень мало общего с Babuk, за исключением использования той же реализации опенсорсного шифрования Sosemanuk. Также Babuk явно не использовали такие вымогатели, как ALPHV, Black Basta, Hive и LockBit ESXi.

В отчете исследователи высказывают опасения, что в будущем исходники Babuk могут использоваться не только для создания вымогателей для ESXi и Linux, но также малвари на базе Go, ориентированной на устройства NAS. Отмечается, что пока Go остается нишевым выбором для преступников, однако его популярность продолжает расти.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии