Aanvallers bouwen ESXi-locker met gelekte Babuk-code
SentinelLabs, het onderzoeksteam van SentinelOne, zag begin 2023 een toename van VMWare ESXi-ransomware op basis van Babuk (ook bekend als Babak, Babyk). De Babuk-lekken in september 2021 gaven diepgaand inzicht in de ontwikkelactiviteiten van een georganiseerde ransomwaregroep.
Vanwege het brede gebruik van ESXi in on-premises en hybride bedrijfsnetwerken zijn deze hypervisors waardevolle doelwitten voor ransomware. In de afgelopen twee jaar hebben georganiseerde ransomwaregroepen als ALPHV, Black Basta, Conti, Lockbit en REvil zich gericht op Linux-lockers. Deze groepen richten zich op ESXi vóór andere Linux-varianten, gebruikmakend van ingebouwde tools voor de ESXi-hypervisor om gastmachines te doden en vervolgens cruciale hypervisor-bestanden te versleutelen.
Het onderzoeksteam identificeerde overlap tussen de gelekte Babuk-broncode en ESXi-lockers die werden toegeschreven aan Conti en REvil, waarbij iteraties van de laatste sterk op elkaar lijken. Ook vergeleek het team ze met de uitgelekte Conti Windows locker-broncode, waarbij gedeelde, op maat gemaakte functienamen en functies werden gevonden.
Onverwachte verbanden geïdentificeerd
De analyse van SentinelLabs identificeerde onverwachte verbanden tussen ESXi-ransomwarefamilies, waardoor ogenschijnlijke verbanden tussen Babuk en meer illustere operaties zoals Conti en REvil werden blootgelegd. Hoewel banden met REvil onbevestigd blijven, bestaat de mogelijkheid dat deze groepen - Babuk, Conti en REvil - mogelijk een ESXi-lockerproject hebben uitbesteed aan dezelfde ontwikkelaar. De talentenpool voor ontwikkelaars van Linux-malware is veel kleiner in kringen van ransomware-ontwikkelaars, die van oudsher expertise hebben in het maken van Windows-malware. Ransomware-groepen hebben te maken gehad met talloze lekken, dus het is aannemelijk dat er binnen deze kringen kleinere lekken hebben plaatsgevonden. Bovendien kunnen actoren code delen om samen te werken, vergelijkbaar met het opensourcen van een ontwikkelproject.
Er is een trend waarneembaar dat actoren steeds vaker de Babuk-builder gebruiken om ESXi- en Linux-ransomware te ontwikkelen, meldt SentinelOne. Dit is met name te zien bij actoren met minder middelen, aangezien deze actoren de Babuk-broncode minder snel zullen wijzigen.
Go-gebaseerde NAS-locker
Op basis van de populariteit van de ESXi-lockercode van Babuk, kunnen actoren zich ook wenden tot de Go-gebaseerde NAS-locker van de groep. Golang blijft voor veel actoren een nichekeuze, maar wordt steeds populairder. De beoogde NAS-systemen zijn ook gebaseerd op Linux. Hoewel de NAS-locker minder complex is, is de code duidelijk en leesbaar, wat ransomware toegankelijker zou kunnen maken voor ontwikkelaars die bekend zijn met Go of vergelijkbare programmeertalen.
Meer informatie is beschikbaar in deze Engelstalige blog.
Meer over SentinelOne
Over Wouter Hoeffnagel
