M\u00faltiples actores de amenazas han capitalizado la filtraci\u00f3n del c\u00f3digo de ransomware Babuk (tambi\u00e9n conocido como Babak o Babyk) en septiembre de 2021 para crear hasta nueve familias de ransomware diferentes capaces de atacar los sistemas VMware ESXi.<\/p>\n
“Estas variantes surgieron durante el segundo semestre de 2022 y el primer semestre de 2023, lo que muestra una tendencia creciente en la adopci\u00f3n del c\u00f3digo fuente de Babuk”, dijo Alex Delamotte, investigador de seguridad de SentinelOne. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n “El c\u00f3digo fuente filtrado permite a los actores apuntar a los sistemas Linux cuando, de lo contrario, podr\u00edan carecer de experiencia para construir un programa que funcione”.<\/p>\n Un numero de grupos de ciberdelincuencia<\/a>, tanto grandes como peque\u00f1os, han puesto su mirada en los hipervisores ESXi. Adem\u00e1s, al menos tres cepas de ransomware diferentes: Cilindro<\/a>Rorschach (tambi\u00e9n conocido como BabLock), RTM Locker, que han surgido desde principios de a\u00f1o, se basan en el c\u00f3digo fuente filtrado de Babuk.<\/p>\n El \u00faltimo an\u00e1lisis de SentinelOne muestra que este fen\u00f3meno es m\u00e1s com\u00fan, ya que la empresa de ciberseguridad identifica superposiciones de c\u00f3digo fuente entre los casilleros Babuk y ESXi atribuidos a Conti y REvil (tambi\u00e9n conocido como REvix).<\/p>\n Otras familias de ransomware que han portado varias funciones de Babuk a sus respectivos c\u00f3digos incluyen LOCK4, DATOS<\/a>, mario<\/a>Play y Babuk 2023 (tambi\u00e9n conocido como XVGV) ransomware.<\/p>\n A pesar de esta tendencia notable, SentinelOne dijo que no observ\u00f3 paralelos entre Babuk y ALPHV, Black Basta, Hive y los casilleros ESXi de LockBit, y agreg\u00f3 que encontr\u00f3 “poca similitud” entre ESXiArgs y Babuk, lo que indica una atribuci\u00f3n err\u00f3nea.<\/p>\n “Seg\u00fan la popularidad del c\u00f3digo de casillero ESXi de Babuk, los actores tambi\u00e9n pueden recurrir al casillero NAS basado en Go del grupo”, dijo Delamotte. “Golang sigue siendo una opci\u00f3n de nicho para muchos actores, pero su popularidad sigue aumentando”.<\/p>\n Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n \u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n Guardar mi asiento!<\/a><\/div>\n El desarrollo se produce cuando los actores de amenazas asociados con Royal ransomware, que se sospecha que son ex miembros de Conti, han ampliado su conjunto de herramientas de ataque con una variante ELF que es capaz de atacar entornos Linux y ESXi.<\/p>\n “La variante ELF es bastante similar a la variante de Windows, y la muestra no contiene ninguna ofuscaci\u00f3n”, Palo Alto Networks Unit 42 dicho<\/a> en un art\u00edculo publicado esta semana. “Todas las cadenas, incluida la clave p\u00fablica RSA y la nota de rescate, se almacenan como texto sin formato”.<\/p>\n Los ataques de Royal ransomware se facilitan por medio de varios vectores de acceso inicial, como el phishing de devoluci\u00f3n de llamada, las infecciones de BATLOADER o las credenciales comprometidas, que luego se abusan para dejar caer un Cobalt Strike Beacon como precursor de la ejecuci\u00f3n de ransomware.<\/p>\n Desde que irrumpi\u00f3 en escena en septiembre de 2022, el ransomware Royal se ha adjudicado la responsabilidad de atacar a 157 organizaciones en su sitio de fuga, con la mayor\u00eda de los ataques dirigidos a la fabricaci\u00f3n, el comercio minorista, los servicios legales, la educaci\u00f3n, la construcci\u00f3n y los servicios de atenci\u00f3n m\u00e9dica en los EE. UU., Canad\u00e1 y Alemania.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1682966412_237_APT28-apunta-a-entidades-gubernamentales-ucranianas-con-falsificaciones-quotactualizacion-de.png\")
<\/a><\/center><\/div>\n