В начале 2023 года лаборатория SentinelLabs наблюдала рост числа вымогательских программ для VMware ESXi, основанных на Babuk (он же Babak, Babyk). Утечка Babuk в сентябре 2021 года позволила получить беспрецедентное представление об операциях по разработке организованной группы вымогателей.
- SentinelLabs выявила 10 семейств программ-вымогателей, использующих блокировщики VMware ESXi, на основе утечки исходного кода Babuk в 2021 году.
- Эти варианты появились во второй половине 2022 года и первой половине 2023 года, что свидетельствует о тенденции к увеличению числа случаев использования исходного кода Babuk.
- Утечка исходного кода позволяет злоумышленникам использовать системы Linux в тех случаях, когда в противном случае им может не хватить опыта для создания рабочей программы.
- Утечки исходного кода еще больше усложняют атрибуцию, поскольку все большее число субъектов будет использовать эти инструменты.
Из-за широкой распространенности ESXi в локальных и гибридных корпоративных сетях эти гипервизоры являются ценной мишенью для программ-вымогателей. За последние два года организованные группы разработчиков программ-вымогателей взяли на вооружение Linux-блокировщики, включая ALPHV, Black Basta, Conti, Lockbit и REvil. Эти группы фокусируются на ESXi перед другими вариантами Linux, используя встроенные инструменты гипервизора ESXi для уничтожения гостевых машин, а затем шифруют важные файлы гипервизора.
SentinelLabs обнаружили совпадение между утечкой исходного кода Babuk и ESXi lockers, приписываемых Conti и REvil, причем итерации последних резко похожи друг на друга. SentinelLabs также сравнили их с просочившимся исходным кодом блокировщика Windows от Conti, обнаружив общие, специально разработанные имена функций и возможности.
Помимо этих печально известных групп, SentinelLabs также обнаружили более мелкие операции с вымогательским ПО, использующие исходный код Babuk для создания более узнаваемых блокировщиков ESXi. Mario от Ransom House и ранее недокументированная ESXi версия Play Ransomware составляют лишь небольшую часть растущего ландшафта ESXi блокировщиков, созданных с помощью Babuk.
Indicators of Compromise
SHA1
- 048b3942c715c6bff15c94cdc0bb4414dbab9e07
- 091f4bddea8bf443bc8703730f15b21f7ccf00e9
- 29f16c046a344e0d0adfea80d5d7958d6b6b8cfa
- 3b1a2847e006007626ced901e402f1a33bb800c7
- 71ed640ebd8377f52bda4968398c62c97ae1c3ed
- 74e4b2f7abf9dbd376372c9b05b26b02c2872e4b
- 76fb0d08fd5b9c52cb9da118ce5561cc0462555f
- 885a734c7869b52aa125674cb430199b2645cda0
- 9290478cda302b9535702af3a1dada25818ad9ce
- 933ad0a7d9db57b92144840d838f7b10356c7e51
- b93d649e73c21efea10d4d811b711316206c0509
- cd19c2741261de97e91943148ba8c0863567b461
- dc8b9bc46f1d23779d3835f2b3648c21f4cf6151
- e8bb26f62983055cfb602aa39a89998e8f512466
- ee827023780964574f28c6ba333d800b73eae5c4
