9 fidye yazılımı çetesi tarafından VMWare ESXi sunucularını şifrelemek için kullanılan Babuk kodu


Fidye yazılımı uyarısı

Artan sayıda fidye yazılımı operasyonu, VMware ESXi sunucularını hedefleyen Linux şifreleyicileri oluşturmak için sızdırılan Babuk fidye yazılımı kaynak kodunu benimsiyor.

SentinelLabs güvenlik araştırmacıları, 2022’nin ikinci yarısı ile 2023’ün ilk yarısı arasında ortaya çıkan Babuk tabanlı dokuz fidye yazılımının art arda art arda ortaya çıktığını tespit ettikten sonra bu yükselen eğilimi gözlemledi.

SentinelLabs tehdit araştırmacısı Alex Delamotte, “Aktörlerin ESXi ve Linux fidye yazılımı geliştirmek için Babuk oluşturucuyu giderek daha fazla kullandıklarına dair gözle görülür bir eğilim var” dedi.

“Bu, özellikle daha az kaynağa sahip aktörler tarafından kullanıldığında belirgindir, çünkü bu aktörlerin Babuk kaynak kodunu önemli ölçüde değiştirme olasılığı daha düşüktür.”

2022’nin ikinci yarısından bu yana yeni Babuk tabanlı ESXi şifreleyicileri (ve şifrelenmiş dosyalara eklenen ilgili uzantılar) oluşturmak için onu benimseyen yeni fidye yazılımı ailelerinin listesi Play (.FinDom), Mario (.emario), Conti POC (.conti) içerir. , REvil namı diğer Revix (.rhkrc), Cylance fidye yazılımı, Dataf Locker, Rorschach namı diğer BabLock, Lock4 ve RTM Locker.

Babuk vs Conti POC karşılaştırması
Babook vs. Conti POC karşılaştırması (SentinelLabs)

​Beklendiği gibi, Babuk’un sızdırılmış oluşturucusu, saldırganların kendi özel fidye yazılımı türlerini geliştirmek için uzmanlığa sahip olmasalar bile Linux sistemlerini hedef almasına olanak sağladı.

Ne yazık ki, diğer fidye yazılımı aileleri tarafından kullanılması, saldırıların faillerinin tespit edilmesini çok daha zorlaştırdı çünkü birden çok aktörün aynı araçları kullanması, ilişkilendirme çabalarını büyük ölçüde karmaşık hale getiriyor.

Bunlar, birkaç yıldır vahşi doğada keşfedilen VMware ESXi sanal makinelerini hedef alan Babuk tabanlı olmayan diğer birçok benzersiz fidye yazılımı türüne ekleniyor.

Vahşi doğada bulunanlardan bazıları Royal Ransomware, Nevada Ransomware, GwisinLocker fidye yazılımı, Luna fidye yazılımı, RedAlert Ransomware ve ayrıca Black Basta, LockBit, BlackMatter, AvosLocker, HelloKitty, REvil, RansomEXX ve Hive’dır.

Kaynak kodu ve şifre çözme anahtarları sızıntısı

Babuk (diğer adıyla Babyk ve Babuk Locker) fidye yazılımı operasyonu, çifte gasp saldırılarında işletmeleri hedef alarak 2021’in başında su yüzüne çıktı.

Çetenin fidye yazılımı kaynak kodu, VMware ESXi, NAS ve Windows şifreleyicilerin yanı sıra çetenin bazı kurbanları için derlenmiş şifreleyiciler ve şifre çözücülerle birlikte Eylül 2021’de Rusça konuşulan bir bilgisayar korsanlığı forumuna sızdırıldı.

Siber suç grubu, Nisan 2021’de Washington DC Metropolitan Polis Departmanına (MPD) saldırdıktan sonra ABD kolluk kuvvetlerinin istenmeyen ilgisini çekti ve harareti hissetmeye başladıktan sonra operasyonu durdurduğunu iddia etti.

Babuk üyeleri, yönetici Ramp siber suç forumunu başlatırken ve diğer çekirdek üyeler fidye yazılımını Babuk V2 olarak yeniden başlatırken parçalandı.



Source link