Plusieurs acteurs de la menace ont capitalis\u00e9 sur la fuite du code du ran\u00e7ongiciel Babuk (alias Babak ou Babyk) en septembre 2021 pour cr\u00e9er jusqu’\u00e0 neuf familles de ran\u00e7ongiciels diff\u00e9rentes capables de cibler les syst\u00e8mes VMware ESXi.<\/p>\n
“Ces variantes sont apparues au cours du S2 2022 et du S1 2023, ce qui montre une tendance croissante \u00e0 l’adoption du code source Babuk”, a d\u00e9clar\u00e9 Alex Delamotte, chercheur en s\u00e9curit\u00e9 chez SentinelOne. a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n “Le code source qui fuit permet aux acteurs de cibler les syst\u00e8mes Linux alors qu’ils pourraient autrement manquer d’expertise pour cr\u00e9er un programme fonctionnel.”<\/p>\n Un nombre de groupes de cybercriminalit\u00e9<\/a>, petits et grands, ont jet\u00e9 leur d\u00e9volu sur les hyperviseurs ESXi. De plus, au moins trois souches de ran\u00e7ongiciels diff\u00e9rentes – Cylance<\/a>Rorschach (alias BabLock), RTM Locker – qui ont vu le jour depuis le d\u00e9but de l’ann\u00e9e sont bas\u00e9s sur le code source divulgu\u00e9 de Babuk.<\/p>\n La derni\u00e8re analyse de SentinelOne montre que ce ph\u00e9nom\u00e8ne est plus courant, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 identifiant les chevauchements de code source entre les casiers Babuk et ESXi attribu\u00e9s \u00e0 Conti et REvil (alias REvix).<\/p>\n D’autres familles de ransomwares qui ont port\u00e9 diverses fonctionnalit\u00e9s de Babuk dans leur code respectif incluent LOCK4, DONN\u00c9ESF<\/a>, Mario<\/a>Play et Babuk 2023 (alias XVGV).<\/p>\n Malgr\u00e9 cette tendance notable, SentinelOne a d\u00e9clar\u00e9 n’avoir observ\u00e9 aucun parall\u00e8le entre Babuk et ALPHV, Black Basta, Hive et les casiers ESXi de LockBit, ajoutant qu’il avait trouv\u00e9 “peu de similitudes” entre ESXiArgs et Babuk, indiquant une attribution erron\u00e9e.<\/p>\n “Sur la base de la popularit\u00e9 du code de casier ESXi de Babuk, les acteurs peuvent \u00e9galement se tourner vers le casier NAS bas\u00e9 sur Go du groupe”, a d\u00e9clar\u00e9 Delamotte. “Golang reste un choix de niche pour de nombreux acteurs, mais il continue de gagner en popularit\u00e9.”<\/p>\n Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n Sauvez ma place\u00a0!<\/a><\/div>\n Le d\u00e9veloppement intervient alors que les acteurs de la menace associ\u00e9s au ran\u00e7ongiciel Royal, qui sont soup\u00e7onn\u00e9s d’\u00eatre d’anciens membres de Conti, ont \u00e9largi leur bo\u00eete \u00e0 outils d’attaque avec une variante ELF capable de frapper les environnements Linux et ESXi.<\/p>\n “La variante ELF est assez similaire \u00e0 la variante Windows, et l’\u00e9chantillon ne contient aucun obscurcissement”, Palo Alto Networks Unit 42 a dit<\/a> dans un article publi\u00e9 cette semaine. “Toutes les cha\u00eenes, y compris la cl\u00e9 publique RSA et la note de ran\u00e7on, sont stock\u00e9es en texte clair.”<\/p>\n Les attaques de ransomware Royal sont facilit\u00e9es au moyen de divers vecteurs d’acc\u00e8s initiaux tels que le phishing de rappel, les infections BATLOADER ou les informations d’identification compromises, qui sont ensuite utilis\u00e9es pour supprimer une balise Cobalt Strike comme pr\u00e9curseur de l’ex\u00e9cution du ransomware.<\/p>\n Depuis son apparition en septembre 2022, Royal ransomware a revendiqu\u00e9 la responsabilit\u00e9 d’avoir cibl\u00e9 157 organisations sur son site de fuite, la plupart des attaques ciblant la fabrication, la vente au d\u00e9tail, les services juridiques, l’\u00e9ducation, la construction et les services de sant\u00e9 aux \u00c9tats-Unis, au Canada et Allemagne.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1683731497_110_Des-experts-detaillent-la-nouvelle-vulnerabilite-Windows-sans-clic-pour.png\")
<\/a><\/center><\/div>\n