I fratelli del ransomware Babuk sono tanti e prendono tutti di mira le istanza VMware ESXi

Redazione RHC : 4 Giugno 2023 22:22

Degli specialisti di sicurezza informatica hanno scoperto diversi gruppi criminali utilizzare il codice sorgente del ransomware Babuk che è diventato di dominio pubblico. Gli aggressori creano il proprio malware utilizzando il codice di Babuck, che risulta essere focalizzato nel prendere di mira VMware ESXi.

La famiglia di ransomware Babuk, prende di mira sia Windows che Linux ed è stata scoperta e descritta da esperti nel gennaio 2021, quindi il ransomware è stato utilizzato in attacchi contro numerose organizzazioni.

Nel settembre 2021, il codice sorgente del ransomware è trapelato in rete da uno dei suoi operatori, il che ha consentito ai ricercatori di sicurezza informatica di creare uno strumento gratuito per decrittografare i file interessati. 

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Tuttavia, allo stesso tempo, le fonti trapelate hanno generato un’ondata di “follower”: sono comparsi ransomware come Rook, RTM Locker e Rorschach (alias BabLock), basati sul codice sorgente di Babuk e mirati ai server ESXi.

Tra la seconda metà del 2022 e il 2023, il codice sorgente di Babuk è stato utilizzato per creare una decina di programmi ransomware destinati ai server VMware ESXi, riportano ora gli analisti di SentinelOne in un nuovo rapporto.

“C’è una tendenza notevole: gli aggressori utilizzano sempre più il builder Babuk per sviluppare ransomware per ESXi e Linux”, scrivono gli esperti. “Ciò è particolarmente evidente quando il codice viene utilizzato da aggressori con poche risorse, poiché è meno probabile che modifichino in modo significativo il codice sorgente di Babuk. La perdita del codice sorgente consente agli aggressori di prendere di mira i sistemi Linux, anche se loro stessi potrebbero non avere l’esperienza per creare programmi funzionanti per quel sistema operativo.”

Di conseguenza, l’elenco delle famiglie di ransomware che hanno utilizzato Babuk stanno diventando molte e sono: Play (.FinDom), Mario (.emario), Conti POC (.conti), REvil o Revix (.rhkrc), Cylance , Dataf Locker, Rorschach o BabLock, Lock4 e RTM Locker.

La società osserva che il malware ESXiArgs, che ha causato molti problemi all’inizio del 2023, aveva ben poco in comune con Babuk, ad eccezione dell’utilizzo della stessa implementazione della crittografia open source Sosemanuk.

Nel rapporto, i ricercatori sollevano preoccupazioni sul fatto che in futuro le fonti Babuk potrebbero essere utilizzate non solo per creare ransomware per ESXi e Linux, ma anche malware basato su Go che prende di mira i dispositivi NAS.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli