Vários atores de ameaças capitalizaram sobre a divulgação do código de ransomware Babuk (também conhecido como Babak ou Babyk) em setembro de 2021 para criar até nove diferentes famílias de ransomware capazes de atacar sistemas VMware ESXi.
"Essas variantes surgiram no H2 2022 e H1 2023, o que mostra uma tendência crescente de adoção do código fonte Babuk", disse o pesquisador de segurança da SentinelOne, Alex Delamotte, em um relatório compartilhado com o The Hacker News.
"O código fonte vazado permite que os atores ataquem sistemas Linux quando, de outra forma, não teriam expertise para construir um programa funcional".
Vários grupos de cibercrime, grandes e pequenos, têm seu foco nos hipervisores ESXi.
Além disso, pelo menos três diferentes variantes de ransomware - Cylance, Rorschach (também conhecido como BabLock), RTM Locker - que surgiram desde o início do ano são baseadas no código fonte vazado do Babuk.
A mais recente análise da SentinelOne mostra que esse fenômeno é mais comum, com a empresa de segurança cibernética identificando sobreposições de código fonte entre Babuk e bloqueadores ESXi atribuídos a Conti e REvil (também conhecido como REvix).
Outras famílias de ransomware que portaram várias características do Babuk para seus respectivos códigos incluem LOCK4, DATAF, Mario, Play e ransomware Babuk 2023 (também conhecido como XVGV).
Apesar dessa tendência notável, a SentinelOne disse que não observou paralelos entre bloqueadores ESXi Babuk e ALPHV, Black Basta, Hive e LockBit, acrescentando que encontrou "pouca semelhança" entre ESXiArgs e Babuk, indicando uma atribuição errônea.
"Com base na popularidade do código Babuk ESXi locker, os atores também podem recorrer ao grupo Go-based NAS locker", disse Delamotte.
"Golang continua sendo uma escolha de nicho para muitos atores, mas continua a aumentar em popularidade".
O desenvolvimento ocorre enquanto atores de ameaças associados ao ransomware Royal, suspeitos de serem ex-membros do Conti, expandiram seu conjunto de ferramentas de ataque com uma variante ELF capaz de atingir ambientes Linux e ESXi.
"A variante ELF é bastante semelhante à variante Windows, e a amostra não contém nenhuma ofuscação", disse o Unit 42 da Palo Alto Networks em um artigo publicado esta semana.
"Todas as strings, incluindo a chave pública RSA e a nota de resgate, são armazenadas em texto simples".
Os ataques do ransomware Royal são facilitados por meio de vários vetores de acesso inicial, como phishing de retorno de chamada, infecções BATLOADER ou credenciais comprometidas, que são então abusadas para deixar um Beacon Cobalt Strike como precursor da execução do ransomware.
Desde sua estreia em setembro de 2022, o ransomware Royal assumiu a responsabilidade por atacar 157 organizações em seu site de vazamento, com a maioria dos ataques visando serviços de manufatura, varejo, serviços jurídicos, educação, construção e saúde nos EUA, Canadá e Alemanha.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...