SentinelOne-onderzoek: Threat actor-groepen gebruiken gelekte Babuk-code om ESXi-lockers te bouwen

Achtergrond
Redactie WINMAG Pro

Begin 2023 constateerde SentinelLabs, het onderzoeksteam van SentinelOne, een toename van VMWare ESXi-ransomware op basis van Babuk (ook bekend als Babak, Babyk). De Babuk-lekken in september 2021 gaven diepgaand inzicht in de ontwikkelactiviteiten van een georganiseerde ransomwaregroep.

Vanwege het brede gebruik van ESXi in on-premises en hybride bedrijfsnetwerken, zijn deze hypervisors waardevolle doelwitten voor ransomware. In de afgelopen twee jaar hebben georganiseerde ransomwaregroepen, waaronder ALPHV, Black Basta, Conti, Lockbit en REvil, zich gericht op Linux-lockers. Deze groepen richten zich op ESXi vóór andere Linux-varianten, gebruikmakend van ingebouwde tools voor de ESXi-hypervisor om gastmachines te doden en vervolgens cruciale hypervisor-bestanden te versleutelen.

Het onderzoeksteam identificeerde overlap tussen de gelekte Babuk-broncode en ESXi-lockers die werden toegeschreven aan Conti en REvil, waarbij iteraties van de laatste sterk op elkaar lijken. Ook vergeleek het team ze met de uitgelekte Conti Windows locker-broncode, waarbij gedeelde, op maat gemaakte functienamen en functies werden gevonden.

Onverwachte verbanden geïdentificeerd

De analyse van SentinelLabs identificeerde onverwachte verbanden tussen ESXi-ransomwarefamilies, waardoor ogenschijnlijke verbanden tussen Babuk en meer illustere operaties zoals Conti en REvil werden blootgelegd. Hoewel banden met REvil onbevestigd blijven, bestaat de mogelijkheid dat deze groepen - Babuk, Conti en REvil - mogelijk een ESXi-lockerproject hebben uitbesteed aan dezelfde ontwikkelaar. De talentenpool voor ontwikkelaars van Linux-malware is veel kleiner in kringen van ransomware-ontwikkelaars, die van oudsher expertise hebben in het maken van Windows-malware. Ransomware-groepen hebben te maken gehad met talloze lekken, dus het is aannemelijk dat er binnen deze kringen kleinere lekken hebben plaatsgevonden. Bovendien kunnen actoren code delen om samen te werken, vergelijkbaar met het opensourcen van een ontwikkelproject.

Er is een trend waarneembaar dat actoren steeds vaker de Babuk-builder gebruiken om ESXi- en Linux-ransomware te ontwikkelen. Dit is met name te zien bij actoren met minder middelen, aangezien deze actoren de Babuk-broncode minder snel zullen wijzigen.

Op basis van de populariteit van de ESXi-lockercode van Babuk, kunnen actoren zich ook wenden tot de Go-gebaseerde NAS-locker van de groep. Golang blijft voor veel actoren een nichekeuze, maar wordt steeds populairder. De beoogde NAS-systemen zijn ook gebaseerd op Linux. Hoewel de NAS-locker minder complex is, is de code duidelijk en leesbaar, wat ransomware toegankelijker zou kunnen maken voor ontwikkelaars die bekend zijn met Go of vergelijkbare programmeertalen.

Lees meer

IT-afdeling staat verdere digitalisering van finance afdeling in de weg
IT-afdeling staat verdere digitalisering van finance afdeling in de weg
SentinelOne maakt AI-beveiligingsanalist Purple AI algemeen beschikbaar
SentinelOne maakt AI-beveiligingsanalist Purple AI algemeen beschikbaar
Wat weerhoudt Nederlandse topmanagers ervan om meer te investeren in AI?
Wat weerhoudt Nederlandse topmanagers ervan om meer te investeren in AI?
SentinelOne breidt cloudbeveiligingsmogelijkheden uit met overname van PingSafe
SentinelOne breidt cloudbeveiligingsmogelijkheden uit met overname van PingSafe
SentinelOne deelt bevindingen in onderzoek naar Gaza Cybergang
SentinelOne deelt bevindingen in onderzoek naar Gaza Cybergang
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie