Semakin banyak operasi ransomware mengadopsi kode sumber ransomware Babuk yang bocor untuk membuat enkripsi Linux yang menargetkan server VMware ESXi.
Peneliti keamanan SentinelLabs mengamati tren yang meningkat ini setelah melihat suksesi cepat dari sembilan varian ransomware berbasis Babuk yang muncul antara paruh kedua tahun 2022 dan paruh pertama tahun 2023.
“Ada tren nyata bahwa para pelaku semakin banyak menggunakan pembuat Babuk untuk mengembangkan ransomware ESXi dan Linux,” dikatakan Peneliti ancaman SentinelLabs Alex Delamotte.
“Ini sangat jelas ketika digunakan oleh aktor dengan sumber daya yang lebih sedikit, karena aktor ini cenderung memodifikasi kode sumber Babuk secara signifikan.”
Daftar keluarga ransomware baru yang telah mengadopsinya untuk membuat enkripsi ESXi berbasis Babuk baru sejak H2 2022 (dan ekstensi terkait ditambahkan ke file terenkripsi) termasuk Play (.FinDom), Mario (.emario), Conti POC (.conti), REvil alias Revix (.rhkrc), Cylance ransomware, Dataf Loker, Rorschach alias BabLock, Kunci4Dan Loker RTM.
Seperti yang diharapkan, pembuat bocoran Babuk telah memungkinkan penyerang untuk menargetkan sistem Linux bahkan jika mereka tidak memiliki keahlian untuk mengembangkan jenis ransomware khusus mereka sendiri.
Sayangnya, penggunaannya oleh keluarga ransomware lain juga membuatnya jauh lebih sulit untuk mengidentifikasi pelaku serangan karena penggunaan alat yang sama oleh banyak pelaku sangat memperumit upaya atribusi.
Ini menambah banyak jenis ransomware unik berbasis non-Babuk lainnya yang menargetkan mesin virtual VMware ESXi yang ditemukan di alam liar selama beberapa tahun.
Beberapa yang ditemukan di alam liar adalah Ransomware Kerajaan, Ransomware Nevada, Ransomware GwisinLocker, Ransomware Luna, RedAlert Ransomwaresebaik Basta Hitam, LockBit, BlackMatter, AvosLocker, Hello Kitty, Revil, RansomEXXDan Sarang lebah.
Kode sumber dan kunci dekripsi bocor
Itu Babuk (alias Babyk dan Babuk Locker) operasi ransomware muncul di awal tahun 2021 dengan menargetkan bisnis dalam serangan pemerasan ganda.
Kode sumber ransomware geng itu bocor di forum peretasan berbahasa Rusia pada September 2021, bersama dengan VMware ESXi, NAS, dan enkripsi Windows, serta enkripsi dan dekripsi yang disusun untuk beberapa korban geng.
Setelah itu menyerang Departemen Kepolisian Metropolitan Washington DC (MPD) pada April 2021, kelompok kejahatan dunia maya menarik perhatian yang tidak diinginkan dari penegak hukum AS dan mengklaim telah menghentikan operasi setelah mulai merasakan panasnya.
Anggota Babuk terpecah, dengan admin meluncurkan forum kejahatan dunia maya Ramp dan anggota inti lainnya meluncurkan kembali ransomware sebagai Babuk V2.
