本文來自微信公眾號“安全內(nèi)參”,編譯/安全內(nèi)參。
安全廠商SentinelOne發(fā)現(xiàn),近大半年來出現(xiàn)了9個利用已泄露源代碼構(gòu)建的VMware ESXi勒索軟件變種。
安全內(nèi)參5月12日消息,多個惡意黑客團(tuán)伙利用2021年9月Babuk(又名Babk或Babyk)勒索軟件泄露的源代碼,構(gòu)建了多達(dá)9個針對VMware ESXi系統(tǒng)的不同勒索軟件家族。
美國安全廠商SentinelOne公司的研究員Alex Delamotte表示,“這些變體在2022年下半年至2023年上半年開始出現(xiàn),表明對Babuk源代碼的利用呈現(xiàn)出上升趨勢。”
“在泄露源代碼的幫助下,即使惡意黑客缺乏構(gòu)建攻擊程序的專業(yè)知識,也能對Linux系統(tǒng)構(gòu)成威脅。”
許多大大小小的網(wǎng)絡(luò)犯罪團(tuán)伙都將目光投向ESXi管理程序。自今年年初以來,已經(jīng)出現(xiàn)至少三種不同的勒索軟件變種——Cylance、Rorschach(又名BabLock)和RTM Locker等,它們都以泄露的Babuk源代碼為基礎(chǔ)。
圖:Babuk默認(rèn)展示的贖金消息
SentinelOne最新分析表明,如今這種現(xiàn)象已經(jīng)愈發(fā)普遍,Conti和REvil(又名REvix)等黑客團(tuán)伙也開始利用Babuk源代碼開發(fā)更多ESXi勒索軟件。
其他將Babuk功能移植進(jìn)自身代碼的勒索軟件家族還包括LOCK4、DATAF、Mario、Play和Babuk 2023(又名XVGV)等。
盡管出現(xiàn)了明顯的趨勢,但SentinelOne公司表示,它沒有觀察到Babuk同ALPHV、Black Basta、Hive及LockBit的ESXi勒索軟件間存在相似之處。該公司還發(fā)現(xiàn),ESXiArgs和Babuk之間同樣“幾乎沒有相似之處”,表明之前的歸因可能有誤。
Delamotte解釋道,“隨著越來越多ESXi勒索軟件采用Babuk源代碼,惡意黑客們有可能會轉(zhuǎn)向該組織基于Go語言開發(fā)的NAS勒索軟件。在黑客群體之間,Go語言目前仍是個小眾選項,但其接受程度正在不斷增加。”
這一趨勢始于Royal勒索軟件的幕后團(tuán)伙(疑似前Conti成員)擴展攻擊工具庫,他們曾將針對Linux和ESXi環(huán)境的ELF變體納入自己的武器儲備。
Palo Alto Networks旗下安全部門Unit 42發(fā)布文章也指出,“ELF變體與Windows變體非常相似,樣本沒有使用任何混淆技術(shù)。包括RSA公鑰和贖金記錄在內(nèi)的所有字符串,均以明文形式存儲。”
Royakl勒索軟件攻擊會從各種初始訪問向量(如回調(diào)釣魚、BATLOADER感染或竊取憑證等)起步,隨后投放Cobalt Strike Beacon以預(yù)備執(zhí)行勒索軟件。
自2022年9月出現(xiàn)以來,Royal勒索軟件已在其泄露網(wǎng)站上宣稱對157家組織的事件負(fù)責(zé),其中大多數(shù)攻擊針對美國、加拿大和德國的制造、零售、法律服務(wù)、教育、建筑及醫(yī)療服務(wù)組織。