針對VMware ESXi的勒索軟件爆發!因源碼泄露,近一年涌現出9個變種
責編:gltian |2023-05-12 16:03:03多個惡意黑客團伙利用2021年9月Babuk(又名Babk或Babyk)勒索軟件泄露的源代碼,構建了多達9個針對VMware ESXi系統的不同勒索軟件家族。
美國安全廠商SentinelOne公司的研究員Alex Delamotte表示,“這些變體在2022年下半年至2023年上半年開始出現,表明對Babuk源代碼的利用呈現出上升趨勢。”
“在泄露源代碼的幫助下,即使惡意黑客缺乏構建攻擊程序的專業知識,也能對Linux系統構成威脅。”
許多大大小小的網絡犯罪團伙都將目光投向ESXi管理程序。自今年年初以來,已經出現至少三種不同的勒索軟件變種——Cylance、Rorschach(又名BabLock)和RTM Locker等,它們都以泄露的Babuk源代碼為基礎。
圖:Babuk默認展示的贖金消息
SentinelOne最新分析表明,如今這種現象已經愈發普遍,Conti和REvil(又名REvix)等黑客團伙也開始利用Babuk源代碼開發更多ESXi勒索軟件。
其他將Babuk功能移植進自身代碼的勒索軟件家族還包括LOCK4、DATAF、Mario、Play和Babuk 2023(又名XVGV)等。
盡管出現了明顯的趨勢,但SentinelOne公司表示,它沒有觀察到Babuk同ALPHV、Black Basta、Hive及LockBit的ESXi勒索軟件間存在相似之處。該公司還發現,ESXiArgs和Babuk之間同樣“幾乎沒有相似之處”,表明之前的歸因可能有誤。
Delamotte解釋道,“隨著越來越多ESXi勒索軟件采用Babuk源代碼,惡意黑客們有可能會轉向該組織基于Go語言開發的NAS勒索軟件。在黑客群體之間,Go語言目前仍是個小眾選項,但其接受程度正在不斷增加。”
這一趨勢始于Royal勒索軟件的幕后團伙(疑似前Conti成員)擴展攻擊工具庫,他們曾將針對Linux和ESXi環境的ELF變體納入自己的武器儲備。
Palo Alto Networks旗下安全部門Unit 42發布文章也指出,“ELF變體與Windows變體非常相似,樣本沒有使用任何混淆技術。包括RSA公鑰和贖金記錄在內的所有字符串,均以明文形式存儲。”
Royakl勒索軟件攻擊會從各種初始訪問向量(如回調釣魚、BATLOADER感染或竊取憑證等)起步,隨后投放Cobalt Strike Beacon以預備執行勒索軟件。
自2022年9月出現以來,Royal勒索軟件已在其泄露網站上宣稱對157家組織的事件負責,其中大多數攻擊針對美國、加拿大和德國的制造、零售、法律服務、教育、建筑及醫療服務組織。
參考資料:thehackernews.com
來源:安全內參