Geçen yıl boyunca, 10 farklı fidye yazılımı ailesi, VMware ESXi hipervizörleri için kilitli dolaplar geliştirmek üzere sızdırılmış Babuk kaynak kodunu kullandı.
Hipervizörler, tek bir sunucuda birden çok sanal makineyi (VM) çalıştırmak için kullanılan programlardır. Bilgisayar korsanları, ESXi’yi hedefleyerek, bir kurumsal ortamdaki birden çok sanal makineye geleneksel yöntemlere göre daha doğrudan bulaşabilir.
Babuk tabanlı ESXi fidye yazılımlarından birkaçı, Conti ve REvil gibi büyük tehdit aktörleriyle ilişkilidir. Ve SentinelOne’da kıdemli tehdit araştırmacısı olan Alex Delamotte’ye göre, bunların çoğu son aylarda gerçek dünya saldırılarında kullanıldı.
Bu hafta yeni araştırmayı yayınlayan Delamotte, “Etkili bir model gibi görünüyor” diyor. “Kârlı kaldıkları sürece bilgisayar korsanları bu dolapları kullanmaya devam edecekler. Görünüşe göre işe yarıyorlar.”
Buraya Nasıl Geldik?
Babuk, ilk kez 2021’in başlarında dolaşıma giren, popüler ancak kusurlu bir hizmet olarak fidye yazılımı (RaaS) teklifiydi.
Eylül 2021’de, orijinal içerik oluşturuculardan biri bir an hesaplaşınca iş modeli kesintiye uğradı. Kötü amaçlı yazılım kaynak kodu için bir havuz olan vx-underground, “Rusya’dan 17 yaşındaki Babuk fidye yazılımı grubunun geliştiricilerinden birine 4. Aşama Akciğer Kanseri teşhisi kondu”, bir tweet yazdı. “Windows, ESXI, NAS için BÜTÜN Babuk kaynak kodunu sızdırmaya karar verdi.”
Temel Olarak Sarhoş
O zamandan beri tehdit aktörleri, Babuk’un çeşitli sızdırılmış araçlarını yeni kötü amaçlı yükler oluşturmak için bir temel olarak kullanıyor.
Örneğin, 4 Mayıs’ta yayınlanan raporlarında Sentinel Labs araştırmacıları, Babuk ESXi fidye yazılımı oluşturucu ile diğer on fidye yazılımı ailesi arasında önemli örtüşmeler belirledi: Cylance, Dataf Locker, Lock4, Mario, Play, Rorschach, RTM Locker, XVGV, RHKRC — yakından REvil grubunun Revix dolabıyla ve kötü şöhretli ve artık büyük ölçüde feshedilmiş fidye yazılımı grubundan bir kavram kanıtı olan “Conti POC” ile ilişkilidir.
Delamotte, Mario, Rorschach, XVGV ve Conti POC’nin zaten saldırılarda kullanıldığını ve Bleeping Computer forumlarındaki kullanıcıların Dataf Locker ve Lock4’ün kurbanı olduklarını bildirdi.
Hackerlar Neden ESXi’yi Hedefliyor?
Bir “bare metal” hiper yönetici olan VMware ESXi, arabellek (“bare metal”) olarak işletim sistemi kullanmaz, bunun yerine doğrudan mantıksal donanımla arayüz oluşturur. Makinenin temel kaynakları üzerinde sınırsız erişim ve denetime sahip olan bir fiziksel sunucuya doğrudan kurulur.
Tüm bunlar, ESXi’yi BT yöneticileri ve aynı şekilde bilgisayar korsanları için güçlü bir platform yapan şeydir. Delamotte raporda, kötü aktörlerin “ESXi hipervizörünün misafir makineleri öldürmesi ve ardından önemli hipervizör dosyalarını şifrelemesi için yerleşik araçları” kullanarak tek bir sanal sunucuda çalışan birden çok VM’yi vurmayı hedefleyebileceğini açıkladı.
VMware’in ESXi’sini çalıştıran kuruluşların dikkatli olması gerekir, ancak düzeltme basittir.
Delamotte, “En önemli şey, herhangi bir erişimin – özellikle de bir ESXi hipervizörü gibi bir şeye yönetim erişiminin – çok sınırlı olmasını sağlamaktır.” “Herhangi bir hizmet hesabında iyi rol tabanlı erişim denetimlerine ve mümkün olan her yerde kesinlikle MFA’ya sahip olmak istiyorsunuz.”
Sıkı, etkili erişim kontrolleri, savunmasız olanları izole etmek için yeterli olmalıdır. “Birinin yönetici ayrıcalıklarına sahip olmadan bu tür bir sunucuya geçebileceği herhangi bir durum görmüyorum” diyor.