Nhiều kẻ xấu đã lợi dùng vụ rò rỉ dữ liệu mã nguồn Babuk từ tháng 09/2021 để tạo ra 9 loại mã độc tống tiền khác nhau nhắm vào các hệ thống ảo hóa VMware ESXi.
Babuk hay Babyk là ransomware được phát hiện đầu năm 2021 chuyên nhắm mục tiêu và các doanh nghiệp để đánh cắp và mã hóa dữ liệu, có ít nhất 5 tổ chức đã là nạn nhận của mã độc này. Đến tháng 09/2021, toàn bộ mã nguồn của Babuk đã bị rò rỉ trên một diễn dàn ngầm.
Trong khi đó, ESXi là một công cụ giám sát máy ảo dành cho doanh nghiệp được phát triển bởi VMware, có thể chạy trực tiếp trên phần cứng để cung cấp môi trường ảo hóa.
Theo quan sát của các nhà nghiên cứu cho thấy việc lợi dụng mã nguồn Babuk bị rò rỉ đang tăng lên năm 2023.
Các mã nguồn bị rò rỉ cho phép kẻ xấu nhắm mục tiêu vào cả các hệ thống Linux khi họ có thể thiếu nghiệp vụ trong quá trình dựng một chương trình nào đó.
Nhiều nhóm tội phạm mạng lớn nhỏ đã nhắm vào trình giám sát máy ảo ESXi. Có ít nhất 3 dòng ransomware khác nhau được phát hiện gồm Cylance, Rorschach, RTM Locker đã xuất hiện từ đầu năm 2023 dựa trên mã nguồn Babuk bị rò rỉ.
Theo phân tích mới nhất của Công ty an ninh mạng SentinelOne (Mỹ) hiện tượng này khá phổ biến khi phát hiện các mã nguồn trùng khớp giữa bộ khóa của Babuk và ESXi được quy trách nhiệm cho 2 nhóm hacker nổi tiếng là Conti và Revil.
Còn các dòng ransomware khác đã chuyển các tính năng khác nhau từ Babuk sang mã tương ứng của mình gồm LOCK4, DATAF, Mario, Play và Babuk 2023 (còn gọi là XVGV).
Bất chấp xu hướng này, SentinelOne nói họ không quan sát được sự tương đồng nào giữa các bộ khóa Babuk và ALPHV, Black Basta hay LockBit của ESXi, bổ sung thêm có rất ít sự tương đồng giữa ESXiArgs and Babuk.
Xu hướng này cũng khiến các tác nhân đe dọa kết hợp ransomware Royal, bị nghi ngờ do cựu thành viên nhóm Conti tạo ra, để mở rộng bộ công cụ tấn công bằng biến thể ELF mà có thể nhắm vào môi trường ESXi và Linux.
Đây có thể không phải là 9 loại ransomware duy nhất được tạo ra từ vụ rõ rỉ mã nguồn Babuk, do vậy các doanh nghiệp sẽ còn rất nhiều việc phải làm trong năm 2023 này.
Theo The Hacker News
