چندین عامل تهدید از افشای کد باجافزار Babuk (یا Babak یا Babyk) در سپتامبر ۲۰۲۱ بهره برده و ۹ خانواده باجافزار متفاوت ساختهاند که قادر به هدف قرار دادن سیستمهای VMware ESXi هستند.
الکس دلاموته، محقق امنیتی SentinelOne در گزارشی که با The Hacker News به اشتراک گذاشته شده است اظهار داشت: این گونهها در H2 2022 و H1 2023 پدیدار شدند که نشاندهندهی روند افزایشی استفاده از کد منبع Babuk است. این کد منبع لو رفته عاملان را قادر به هدف قرار دادن سیستمهای لینوکس میکند، درحالی که بدون این کد احتمالاً تخصص لازم برای ساخت چنین برنامهای را ندارند.
تعدادی از گروههای جرایم سایبری بزرگ و کوچک Hypervisorهای EXSi را هدفگذاری کردهاند. بهعلاوه، حداقل سه باجافزار متفاوت – Cylance، Rorschach (یا همان BabLock) و RTM Locker – که از آغاز سال ظهور کردهاند، بر اساس کد منبع لو رفتهی Babuk ایجاد شدهاند.
جدیدترین تحلیل SentinelOne نشان میدهد که این پدیده بسیار متداول است. این شرکت امنیت سایبری میان کد منبع Babuk و قفلکنندههای ESXi منسوب به Conti و REvil (یا همان REvix) نیز همپوشانیهایی پیدا کرده است.
از دیگر خانوادههای باجافزار که ویژگیهای مختلف Babuk را وارد کد خود کردهاند میتوان LOCK4، DATAF، Mario، Play و Babuk 2023 (یا XVGV) را نام برد.
باوجود این رویهی قابل توجه، SentinelOne اعلام کرد هیچ شباهتی میان Babuk و قفلکنندههای ALPHV، Black Basta، Hive و LockBit پیدا نکرده است و افزود شباهت چندانی میان ESXiArgs و Babuk نیافته است که نشان از اشتباه در نسبت داده این دو به یکدیگر دارد.
به گفتهی دلاموته، باتوجه به محبوبیت کد قفلکنندهی ESXi متعلق به Babuk، عاملان ممکن است به قفلکنندهی NAS مبتنی برGo این گروه نیز رو بیاورند. Golang برای بسیاری از عاملان تهدید انتخابی بیرقابت است، اما محبوبیت آن رو به افزایش است.
این در حالی است که عاملان تهدید مرتبط با باجافزار Royal که گمان میرود اعضای پیشین Conti باشند، جعبه ابزار حملهی خود را با یک گونهی ELF توسعه دادهاند که قادر به حمله به محیطهای لینوکس و ESXi است.
Palo Alto Networks Unit 42 در گزارشی که این هفته منتشر کرد اظهار داشت «این گونهی ELF بسیار مشابه گونهی ویندوز است و الگوی آن هیچ نوع مبهمسازی ندارد. تمامی رشتههای اطلاعات، شامل کد عمومی RSA و یاداشت باج بهصورت متن ساده ذخیره شدهاند».
حملههای باجافزار Royal بوسیلهی مسیرهای دسترسی اولیهی گوناگون مانند Callback Phishing، آلودهسازی به BATLOADER یا اطلاعات اعتباری بهخطر افتاده تسهیل میشوند و سپس از این موارد برای اجرای Cobalt Strike Beacon بهعنوان زمینهساز اجرای باجافزار استفاده میشود.