Специалисты SentinelOne обнаружили несколько хак-групп, использующих попавший в открытый доступ исходный код шифровальщика Babuk. Злоумышленники создают на его основе собственную малварь, ориентированную на VMware ESXi.
Напомню, что семейство вымогателей Babuk, нацеленное как на Windows, так и на Linux, было обнаружено и описано экспертами в январе 2021 года, и тогда шифровальщик использовался в атаках на многочисленные организации.
В сентябре 2021 года исходный код вымогателя слил в сеть один из его операторов, что позволило ИБ-исследователям создать бесплатный инструмент для расшифровки пострадавших файлов. Однако вместе с этим утечка исходников породила волну «последователей»: появились такие вымогатели как Rook, RTM Locker и Rorschach (он же BabLock), основанные на исходном коде Babuk и нацеленные на серверы ESXi.
Как теперь сообщают аналитики SentinelOne в своем новом отчете, в период со второй половины 2022 по 2023 год исходный код Babuk использовался для создания около десяти программ-вымогателей, ориентированных на серверы VMware ESXi.
«Существует заметная тенденция: злоумышленники все чаще используют билдер Babuk для разработки программ-вымогателей для ESXi и Linux, — пишут эксперты. — Это особенно заметно, когда [код] используется злоумышленниками с небольшими ресурсами, поскольку они реже значительно меняют исходный код Babuk. Утечка исходного кода позволяет злоумышленникам нацеливаться на Linux-системы, хотя у них самих может не хватать опыта для создания работающих программ [для этой ОС]».
В итоге в список семейств вымогателей, которые использовали Babuk для создания своих шифровальщиков, выглядит так: Play (.FinDom), Mario (.emario), Conti POC (.conti), REvil или Revix (.rhkrc), Cylance , Dataf Locker, Rorschach или BabLock , Lock4 и RTM Locker.
«Хотя связи с REvil пока весьма предварительные, существует вероятность, что перечисленные группы — Babuk, Conti и REvil — передали разработку проекта шифровальщика для ESXi одному и тому же разработчику», — отмечают SentinelOne.
В компании отмечают, что малварь ESXiArgs, вызвавшая немало проблем в начале 2023 года, имела очень мало общего с Babuk, за исключением использования той же реализации опенсорсного шифрования Sosemanuk. Также Babuk явно не использовали такие вымогатели, как ALPHV, Black Basta, Hive и LockBit ESXi.
В отчете исследователи высказывают опасения, что в будущем исходники Babuk могут использоваться не только для создания вымогателей для ESXi и Linux, но также малвари на базе Go, ориентированной на устройства NAS. Отмечается, что пока Go остается нишевым выбором для преступников, однако его популярность продолжает расти.