Un nombre croissant d’opérations de ransomware adoptent le code source du ransomware Babuk divulgué pour créer des chiffreurs Linux ciblant les serveurs VMware ESXi.
Les chercheurs en sécurité de SentinelLabs ont observé cette tendance à la hausse après avoir repéré une succession rapide de neuf variantes de ransomware basées sur Babuk qui ont fait surface entre la seconde moitié de 2022 et la première moitié de 2023.
« Il y a une tendance notable selon laquelle les acteurs utilisent de plus en plus le constructeur Babuk pour développer des rançongiciels ESXi et Linux », a déclaré Alex Delamotte, chercheur sur les menaces chez SentinelLabs.
« Cela est particulièrement évident lorsqu’il est utilisé par des acteurs disposant de moins de ressources, car ces acteurs sont moins susceptibles de modifier de manière significative le code source de Babuk. »
La liste des nouvelles familles de ransomwares qui l’ont adopté pour créer de nouveaux chiffreurs ESXi basés sur Babuk depuis H2 2022 (et les extensions associées ajoutées aux fichiers chiffrés) comprend Play (.FinDom), Mario (.emario), Conti POC (.conti) , REvil alias Revix (.rhkrc), Cylance ransomware, Dataf Locker, Rorschach alias BabLock, Lock4 et RTM Locker.
Comme prévu, le constructeur divulgué de Babuk a permis aux attaquants de cibler les systèmes Linux même s’ils n’ont pas l’expertise nécessaire pour développer leurs propres souches de ransomware personnalisées.
Malheureusement, son utilisation par d’autres familles de rançongiciels a également rendu beaucoup plus difficile l’identification des auteurs d’attaques, car l’adoption des mêmes outils par plusieurs acteurs complique considérablement les efforts d’attribution.
Ceux-ci s’ajoutent à de nombreuses autres souches de ransomwares uniques, non basées sur Babuk, ciblant les machines virtuelles VMware ESXi découvertes dans la nature depuis plusieurs années.
Certains de ceux trouvés dans la nature sont Royal Ransomware, Nevada Ransomware, GwisinLocker ransomware, Luna ransomware, RedAlert Ransomware, ainsi que Black Basta, LockBit, BlackMatter, AvosLocker, HelloKitty, REvil, RansomEXX et Hive.
Fuite du code source et des clés de déchiffrement
L’opération de ransomware Babuk (alias Babyk et Babuk Locker) a fait surface au début de 2021 en ciblant les entreprises dans des attaques de double extorsion.
Le code source du rançongiciel du gang a été divulgué sur un forum de piratage russophone en septembre 2021, avec des chiffreurs VMware ESXi, NAS et Windows, ainsi que des chiffreurs et des décrypteurs compilés pour certaines des victimes du gang.
Après avoir attaqué le Département de la police métropolitaine (MPD) de Washington DC en avril 2021, le groupe de cybercriminalité a attiré l’attention indésirable des forces de l’ordre américaines et a affirmé avoir arrêté l’opération après avoir commencé à sentir la chaleur.
Les membres de Babuk se sont séparés, l’administrateur lançant le forum Ramp sur la cybercriminalité et les autres membres principaux relançant le ransomware sous le nom de Babuk V2.