I fratelli del ransomware Babuk sono tanti e prendono tutti di mira le istanza VMware ESXi

Degli specialisti di sicurezza informatica hanno scoperto diversi gruppi criminali utilizzare il codice sorgente del ransomware Babuk che è diventato di dominio pubblico. Gli aggressori creano il proprio malware utilizzando il codice di Babuck, che risulta essere focalizzato nel prendere di mira VMware ESXi.

La famiglia di ransomware Babuk, prende di mira sia Windows che Linux ed è stata scoperta e descritta da esperti nel gennaio 2021, quindi il ransomware è stato utilizzato in attacchi contro numerose organizzazioni.

Nel settembre 2021, il codice sorgente del ransomware è trapelato in rete da uno dei suoi operatori, il che ha consentito ai ricercatori di sicurezza informatica di creare uno strumento gratuito per decrittografare i file interessati. 

Tuttavia, allo stesso tempo, le fonti trapelate hanno generato un’ondata di “follower”: sono comparsi ransomware come Rook, RTM Locker e Rorschach (alias BabLock), basati sul codice sorgente di Babuk e mirati ai server ESXi.

Tra la seconda metà del 2022 e il 2023, il codice sorgente di Babuk è stato utilizzato per creare una decina di programmi ransomware destinati ai server VMware ESXi, riportano ora gli analisti di SentinelOne in un nuovo rapporto.

“C’è una tendenza notevole: gli aggressori utilizzano sempre più il builder Babuk per sviluppare ransomware per ESXi e Linux”, scrivono gli esperti. “Ciò è particolarmente evidente quando il codice viene utilizzato da aggressori con poche risorse, poiché è meno probabile che modifichino in modo significativo il codice sorgente di Babuk. La perdita del codice sorgente consente agli aggressori di prendere di mira i sistemi Linux, anche se loro stessi potrebbero non avere l’esperienza per creare programmi funzionanti per quel sistema operativo.”

Di conseguenza, l’elenco delle famiglie di ransomware che hanno utilizzato Babuk stanno diventando molte e sono: Play (.FinDom), Mario (.emario), Conti POC (.conti), REvil o Revix (.rhkrc), Cylance , Dataf Locker, Rorschach o BabLock, Lock4 e RTM Locker.

La società osserva che il malware ESXiArgs, che ha causato molti problemi all’inizio del 2023, aveva ben poco in comune con Babuk, ad eccezione dell’utilizzo della stessa implementazione della crittografia open source Sosemanuk.

Nel rapporto, i ricercatori sollevano preoccupazioni sul fatto che in futuro le fonti Babuk potrebbero essere utilizzate non solo per creare ransomware per ESXi e Linux, ma anche malware basato su Go che prende di mira i dispositivi NAS.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.