I fratelli del ransomware Babuk sono tanti e prendono tutti di mira le istanza VMware ESXi

Redazione RHC : 4 Giugno 2023 22:22

Degli specialisti di sicurezza informatica hanno scoperto diversi gruppi criminali utilizzare il codice sorgente del ransomware Babuk che è diventato di dominio pubblico. Gli aggressori creano il proprio malware utilizzando il codice di Babuck, che risulta essere focalizzato nel prendere di mira VMware ESXi.

La famiglia di ransomware Babuk, prende di mira sia Windows che Linux ed è stata scoperta e descritta da esperti nel gennaio 2021, quindi il ransomware è stato utilizzato in attacchi contro numerose organizzazioni.

Nel settembre 2021, il codice sorgente del ransomware è trapelato in rete da uno dei suoi operatori, il che ha consentito ai ricercatori di sicurezza informatica di creare uno strumento gratuito per decrittografare i file interessati. 

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Tuttavia, allo stesso tempo, le fonti trapelate hanno generato un’ondata di “follower”: sono comparsi ransomware come Rook, RTM Locker e Rorschach (alias BabLock), basati sul codice sorgente di Babuk e mirati ai server ESXi.

Tra la seconda metà del 2022 e il 2023, il codice sorgente di Babuk è stato utilizzato per creare una decina di programmi ransomware destinati ai server VMware ESXi, riportano ora gli analisti di SentinelOne in un nuovo rapporto.

“C’è una tendenza notevole: gli aggressori utilizzano sempre più il builder Babuk per sviluppare ransomware per ESXi e Linux”, scrivono gli esperti. “Ciò è particolarmente evidente quando il codice viene utilizzato da aggressori con poche risorse, poiché è meno probabile che modifichino in modo significativo il codice sorgente di Babuk. La perdita del codice sorgente consente agli aggressori di prendere di mira i sistemi Linux, anche se loro stessi potrebbero non avere l’esperienza per creare programmi funzionanti per quel sistema operativo.”

Di conseguenza, l’elenco delle famiglie di ransomware che hanno utilizzato Babuk stanno diventando molte e sono: Play (.FinDom), Mario (.emario), Conti POC (.conti), REvil o Revix (.rhkrc), Cylance , Dataf Locker, Rorschach o BabLock, Lock4 e RTM Locker.

La società osserva che il malware ESXiArgs, che ha causato molti problemi all’inizio del 2023, aveva ben poco in comune con Babuk, ad eccezione dell’utilizzo della stessa implementazione della crittografia open source Sosemanuk.

Nel rapporto, i ricercatori sollevano preoccupazioni sul fatto che in futuro le fonti Babuk potrebbero essere utilizzate non solo per creare ransomware per ESXi e Linux, ma anche malware basato su Go che prende di mira i dispositivi NAS.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli