Múltiples actores de amenazas han capitalizado la filtración del código de ransomware Babuk (también conocido como Babak o Babyk) en septiembre de 2021 para crear hasta nueve familias de ransomware diferentes capaces de atacar los sistemas VMware ESXi.
«Estas variantes surgieron durante el segundo semestre de 2022 y el primer semestre de 2023, lo que muestra una tendencia creciente en la adopción del código fuente de Babuk», dijo Alex Delamotte, investigador de seguridad de SentinelOne. dicho en un informe compartido con The Hacker News.
«El código fuente filtrado permite a los actores apuntar a los sistemas Linux cuando, de lo contrario, podrían carecer de experiencia para construir un programa que funcione».
Un numero de grupos de ciberdelincuencia, tanto grandes como pequeños, han puesto su mirada en los hipervisores ESXi. Además, al menos tres cepas de ransomware diferentes: CilindroRorschach (también conocido como BabLock), RTM Locker, que han surgido desde principios de año, se basan en el código fuente filtrado de Babuk.
El último análisis de SentinelOne muestra que este fenómeno es más común, ya que la empresa de ciberseguridad identifica superposiciones de código fuente entre los casilleros Babuk y ESXi atribuidos a Conti y REvil (también conocido como REvix).
Otras familias de ransomware que han portado varias funciones de Babuk a sus respectivos códigos incluyen LOCK4, DATOS, marioPlay y Babuk 2023 (también conocido como XVGV) ransomware.
A pesar de esta tendencia notable, SentinelOne dijo que no observó paralelos entre Babuk y ALPHV, Black Basta, Hive y los casilleros ESXi de LockBit, y agregó que encontró «poca similitud» entre ESXiArgs y Babuk, lo que indica una atribución errónea.
«Según la popularidad del código de casillero ESXi de Babuk, los actores también pueden recurrir al casillero NAS basado en Go del grupo», dijo Delamotte. «Golang sigue siendo una opción de nicho para muchos actores, pero su popularidad sigue aumentando».
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
El desarrollo se produce cuando los actores de amenazas asociados con Royal ransomware, que se sospecha que son ex miembros de Conti, han ampliado su conjunto de herramientas de ataque con una variante ELF que es capaz de atacar entornos Linux y ESXi.
«La variante ELF es bastante similar a la variante de Windows, y la muestra no contiene ninguna ofuscación», Palo Alto Networks Unit 42 dicho en un artículo publicado esta semana. «Todas las cadenas, incluida la clave pública RSA y la nota de rescate, se almacenan como texto sin formato».
Los ataques de Royal ransomware se facilitan por medio de varios vectores de acceso inicial, como el phishing de devolución de llamada, las infecciones de BATLOADER o las credenciales comprometidas, que luego se abusan para dejar caer un Cobalt Strike Beacon como precursor de la ejecución de ransomware.
Desde que irrumpió en escena en septiembre de 2022, el ransomware Royal se ha adjudicado la responsabilidad de atacar a 157 organizaciones en su sitio de fuga, con la mayoría de los ataques dirigidos a la fabricación, el comercio minorista, los servicios legales, la educación, la construcción y los servicios de atención médica en los EE. UU., Canadá y Alemania.