Ravie Lakshmanan
چندین عامل تهدید از افشای کد باجافزار Babuk (معروف به Babak یا Babyk) در سپتامبر ۲۰۲۱ استفاده کردهاند تا ۹ خانواده مختلف باجافزار بسازند که میتوانند سیستمهای VMware ESXi را هدف قرار دهند.
الکس دیلاموت، محقق امنیتی SentinelOne در گزارشی که با The Hacker News به اشتراک گذاشته شده است، گفت: «این گونهها در H2 2022 و H1 2023 پدیدار شدند، که روند رو به افزایش پذیرش کد منبع Babuk را نشان میدهد.
کد منبع فاش شده به بازیگران این امکان را میدهد تا سیستمهای لینوکس را هدف قرار دهند، در صورتی که در غیر این صورت ممکن است برای ساختن یک برنامه کاربردی فاقد تخصص باشند.
تعدادی از گروههای جرایم سایبری، اعم از بزرگ و کوچک، هدف خود را روی هایپروایزرهای ESXi گذاشتهاند. علاوه بر این، حداقل سه نوع باجافزار مختلف - Cylance، Rorschach (معروف به BabLock)، RTM Locker - که از ابتدای سال پدیدار شدهاند، بر اساس کد منبع فاش شده Babuk هستند.
آخرین تحلیل SentinelOne نشان میدهد که این پدیده شایعتر است، زیرا شرکت امنیت سایبری همپوشانی کد منبع بین قفلهای Babuk و ESXi را که به Conti و REvil (معروف به REvix) نسبت داده میشود، شناسایی میکند.
خانوادههای باجافزار دیگری که آپشن های مختلفی را از بابوک به کد مربوطه خود منتقل کردهاند شامل باجافزار LOCK4، DATAF، Mario، Play و Babuk 2023 (معروف به XVGV) میشود.
با وجود این روند قابل توجه، SentinelOne بیان کرد که هیچ شباهتی بین Babuk و ALPHV، Black Basta، Hive، و قفسههای ESXi LockBit مشاهده نکرده است، و اضافه کرد که «شباهت کمی» بین ESXiArgs و Babuk یافت که نشاندهنده یک انتساب اشتباه است.
دیلاموت گفت: «بر اساس محبوبیت کد قفل ESXi بابوک، بازیگران ممکن است به قفل NAS مبتنی بر Go گروه روی بیاورند. گولنگ برای بسیاری از بازیگران یک انتخاب خاص باقی مانده است، اما همچنان بر محبوبیت آن گفت ه می شود.
این توسعه در حالی صورت میگیرد که عوامل تهدید مرتبط با باجافزار رویال، که مظنون به عضویت سابق Conti هستند، جعبه ابزار حمله خود را با یک نوع ELF گسترش دادهاند که میتواند به محیطهای لینوکس و ESXi ضربه بزند.
Palo Alto Networks Unit 42 در گزارشی که این هفته منتشر شد، گفت: «نوع ELF کاملاً شبیه به نوع ویندوز است و نمونه حاوی هیچ ابهامی نیست. "همه رشته ها، از جمله کلید عمومی RSA و یادداشت باج، به عنوان متن ساده ذخیره می شوند."
حملات باجافزار سلطنتی با استفاده از بردارهای دسترسی اولیه مختلف مانند فیشینگ برگشتی، عفونتهای BATLOADER یا اعتبارنامههای در معرض خطر تسهیل میشوند، که سپس برای رها کردن Cobalt Strike Beacon به عنوان پیشرو برای اجرای باجافزار مورد سوء استفاده قرار میگیرند.
باجافزار رویال از زمانی که در سپتامبر ۲۰۲۲ در صحنه ظاهر شد، مسئولیت هدف قرار دادن ۱۵۷ سازمان در سایتهای افشا شده خود را بر عهده گرفت، که بیشتر حملات، تولید، خردهفروشی، خدمات حقوقی، آموزش، ساختوساز و خدمات مراقبتهای بهداشتی در ایالات متحده، کانادا، و آلمان
