SentinelLabs, het onderzoeksteam van SentinelOne, identificeerde 9 ransomwarefamilies die VMWare ESXi-lockers gebruiken op basis van de Babuk-broncodelekken uit 2021
Begin 2023 constateerde SentinelLabs een toename van VMware ESXi-ransomware op basis van Babuk (ook bekend als Babak, Babyk). De Babuk-lekken in september 2021 gaven diepgaand inzicht in de ontwikkelactiviteiten van een georganiseerde ransomwaregroep.
Vanwege het brede gebruik van ESXi in on-premises en hybride bedrijfsnetwerken, zijn deze hypervisors waardevolle doelwitten voor ransomware. In de afgelopen twee jaar hebben georganiseerde ransomwaregroepen, waaronder ALPHV, Black Basta, Conti, Lockbit en REvil, zich gericht op Linux-lockers. Deze groepen richten zich op ESXi vóór andere Linux-varianten, gebruikmakend van ingebouwde tools voor de ESXi-hypervisor om gastmachines te doden en vervolgens cruciale hypervisor-bestanden te versleutelen.
Het onderzoeksteam identificeerde overlap tussen de gelekte Babuk-broncode en ESXi-lockers die werden toegeschreven aan Conti en REvil, waarbij iteraties van de laatste sterk op elkaar lijken. Ook vergeleek het team ze met de uitgelekte Conti Windows locker-broncode, waarbij gedeelde, op maat gemaakte functienamen en functies werden gevonden.
De analyse van SentinelLabs identificeerde onverwachte verbanden tussen ESXi-ransomwarefamilies, waardoor ogenschijnlijke verbanden tussen Babuk en meer illustere operaties zoals Conti en REvil werden blootgelegd. Hoewel banden met REvil onbevestigd blijven, bestaat de mogelijkheid dat deze groepen – Babuk, Conti en REvil – mogelijk een ESXi-lockerproject hebben uitbesteed aan dezelfde ontwikkelaar. De talentenpool voor ontwikkelaars van Linux-malware is veel kleiner in kringen van ransomware-ontwikkelaars, die van oudsher expertise hebben in het maken van Windows-malware. Ransomware-groepen hebben te maken gehad met talloze lekken, dus het is aannemelijk dat er binnen deze kringen kleinere lekken hebben plaatsgevonden. Bovendien kunnen actoren code delen om samen te werken, vergelijkbaar met het opensourcen van een ontwikkelproject.
Er is een trend waarneembaar dat actoren steeds vaker de Babuk-builder gebruiken om ESXi- en Linux-ransomware te ontwikkelen. Dit is met name te zien bij actoren met minder middelen, aangezien deze actoren de Babuk-broncode minder snel zullen wijzigen.
Op basis van de populariteit van de ESXi-lockercode van Babuk, kunnen actoren zich ook wenden tot de Go-gebaseerde NAS-locker van de groep. Golang blijft voor veel actoren een nichekeuze, maar wordt steeds populairder. De beoogde NAS-systemen zijn ook gebaseerd op Linux. Hoewel de NAS-locker minder complex is, is de code duidelijk en leesbaar, wat ransomware toegankelijker zou kunnen maken voor ontwikkelaars die bekend zijn met Go of vergelijkbare programmeertalen.
Meer achtergronden zijn te vinden in deze Engelstalige blog.
