ظهور ۹ باج‌افزار متفاوت با استفاده از کد منبع Babuk و حمله به سیستم‌های VMware ESXi

چندین عامل تهدید از افشای کد باج‌افزار Babuk (یا Babak یا Babyk) در سپتامبر ۲۰۲۱ بهره برده و ۹ خانواده باج‌افزار متفاوت ساخته‌اند که قادر به هدف قرار دادن سیستم‌های VMware ESXi هستند.

الکس دلاموته، محقق امنیتی SentinelOne در گزارشی که با The Hacker News به اشتراک گذاشته شده است اظهار داشت: این گونه‌ها در H2 2022 و H1 2023 پدیدار شدند که نشان‌دهنده‌ی روند افزایشی استفاده از کد منبع Babuk است. این کد منبع لو رفته عاملان را قادر به هدف قرار دادن سیستم‌های لینوکس می‌کند، درحالی که بدون این کد احتمالاً تخصص لازم برای ساخت چنین برنامه‌ای را ندارند.

تعدادی از گروه‌های جرایم سایبری بزرگ و کوچک Hypervisorهای EXSi را هدف‌گذاری کرده‌اند. به‌علاوه، حداقل سه باج‌افزار متفاوت – Cylance، Rorschach (یا همان BabLock) و RTM Locker – که از آغاز سال ظهور کرده‌اند، بر اساس کد منبع لو رفته‌ی Babuk ایجاد شده‌اند.

جدیدترین تحلیل SentinelOne نشان می‌دهد که این پدیده بسیار متداول است. این شرکت امنیت سایبری میان کد منبع Babuk و قفل‌کننده‌های ESXi منسوب به Conti و REvil (یا همان REvix) نیز همپوشانی‌هایی پیدا کرده است.

از دیگر خانواده‌های باج‌افزار که ویژگی‌های مختلف Babuk را وارد کد خود کرده‌اند می‌توان LOCK4، DATAF، Mario، Play و Babuk 2023 (یا XVGV) را نام برد.

باوجود این رویه‌ی قابل توجه، SentinelOne اعلام کرد هیچ شباهتی میان Babuk و قفل‌کننده‌های ALPHV، Black Basta، Hive و LockBit پیدا نکرده است و افزود شباهت چندانی میان ESXiArgs و Babuk نیافته است که نشان از اشتباه در نسبت داده این دو به یکدیگر دارد.

به گفته‌ی دلاموته، باتوجه به محبوبیت کد قفل‌کننده‌ی ESXi متعلق به Babuk، عاملان ممکن است به قفل‌کننده‌ی NAS مبتنی برGo  این گروه نیز رو بیاورند. Golang برای بسیاری از عاملان تهدید انتخابی بی‌رقابت است، اما محبوبیت آن رو به افزایش است.

این در حالی است که عاملان تهدید مرتبط با باج‌افزار Royal که گمان می‌رود اعضای پیشین Conti باشند، جعبه ابزار حمله‌ی خود را با یک گونه‌ی ELF توسعه داده‌اند که قادر به حمله به محیط‌های لینوکس و ESXi است.

Palo Alto Networks Unit 42 در گزارشی که این هفته منتشر کرد اظهار داشت «این گونه‌ی ELF بسیار مشابه گونه‌ی ویندوز است و الگوی آن هیچ نوع مبهم‌سازی ندارد. تمامی رشته‌های اطلاعات، شامل کد عمومی RSA و یاداشت باج به‌صورت متن ساده ذخیره شده‌اند».

حمله‌های باج‌افزار Royal بوسیله‌ی مسیرهای دسترسی اولیه‌ی گوناگون مانند Callback Phishing، آلوده‌سازی به BATLOADER یا اطلاعات اعتباری به‌خطر افتاده تسهیل می‌شوند و سپس از این موارد برای اجرای Cobalt Strike Beacon به‌عنوان زمینه‌ساز اجرای باج‌افزار استفاده می‌شود.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.
ما را در تلگرام دنبال کنید
ما را در لینکدین دنبال کنید
Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.