Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 4 Giugno 2023 22:22
Degli specialisti di sicurezza informatica hanno scoperto diversi gruppi criminali utilizzare il codice sorgente del ransomware Babuk che è diventato di dominio pubblico. Gli aggressori creano il proprio malware utilizzando il codice di Babuck, che risulta essere focalizzato nel prendere di mira VMware ESXi.
La famiglia di ransomware Babuk, prende di mira sia Windows che Linux ed è stata scoperta e descritta da esperti nel gennaio 2021, quindi il ransomware è stato utilizzato in attacchi contro numerose organizzazioni.
Nel settembre 2021, il codice sorgente del ransomware è trapelato in rete da uno dei suoi operatori, il che ha consentito ai ricercatori di sicurezza informatica di creare uno strumento gratuito per decrittografare i file interessati.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Tuttavia, allo stesso tempo, le fonti trapelate hanno generato un’ondata di “follower”: sono comparsi ransomware come Rook, RTM Locker e Rorschach (alias BabLock), basati sul codice sorgente di Babuk e mirati ai server ESXi.
Tra la seconda metà del 2022 e il 2023, il codice sorgente di Babuk è stato utilizzato per creare una decina di programmi ransomware destinati ai server VMware ESXi, riportano ora gli analisti di SentinelOne in un nuovo rapporto.
“C’è una tendenza notevole: gli aggressori utilizzano sempre più il builder Babuk per sviluppare ransomware per ESXi e Linux”, scrivono gli esperti. “Ciò è particolarmente evidente quando il codice viene utilizzato da aggressori con poche risorse, poiché è meno probabile che modifichino in modo significativo il codice sorgente di Babuk. La perdita del codice sorgente consente agli aggressori di prendere di mira i sistemi Linux, anche se loro stessi potrebbero non avere l’esperienza per creare programmi funzionanti per quel sistema operativo.”
Di conseguenza, l’elenco delle famiglie di ransomware che hanno utilizzato Babuk stanno diventando molte e sono: Play (.FinDom), Mario (.emario), Conti POC (.conti), REvil o Revix (.rhkrc), Cylance , Dataf Locker, Rorschach o BabLock, Lock4 e RTM Locker.
La società osserva che il malware ESXiArgs, che ha causato molti problemi all’inizio del 2023, aveva ben poco in comune con Babuk, ad eccezione dell’utilizzo della stessa implementazione della crittografia open source Sosemanuk.
Nel rapporto, i ricercatori sollevano preoccupazioni sul fatto che in futuro le fonti Babuk potrebbero essere utilizzate non solo per creare ransomware per ESXi e Linux, ma anche malware basato su Go che prende di mira i dispositivi NAS.
RedazioneGli autori della minaccia collegati all’operazione ransomware Play hanno sfruttato una vulnerabilità zero-day in Microsoft Windows prima della sua correzione, avvenuta l’8 aprile 20...
È stata individuata una campagna di phishing mirata agli utenti SPID dal gruppo del CERT-AgID, che sfrutta indebitamente il nome e il logo della stessa AgID, insieme al dominio recentemente regis...
Nel mondo del cybercrime organizzato, Darcula rappresenta un salto di paradigma. Non stiamo parlando di un semplice kit di phishing o di una botnet mal gestita. Darcula è una piattaforma vera e p...
Cloudflare afferma di aver prevenuto un numero record di attacchi DDoS da record nel 2024. Il numero di incidenti è aumentato del 358% rispetto all’anno precedente e del 198% ris...
Il gigante delle telecomunicazioni sudcoreano SK Telecom ha sospeso le sottoscrizioni di nuovi abbonati in tutto il paese, concentrandosi sulla sostituzione delle schede SIM di 25 milioni di...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
