Kode Sumber Babuk Memicu 9 Jenis Ransomware Berbeda yang Menargetkan Sistem VMware ESXi
11 Mei 2023Ravie LakshmananKeamanan Server / Ransomware
Berbagai pelaku ancaman telah memanfaatkan kebocoran kode ransomware Babuk (alias Babak atau Babyk) pada bulan September 2021 untuk membangun sembilan keluarga ransomware berbeda yang mampu menargetkan sistem VMware ESXi.
“Varian ini muncul hingga H2 2022 dan H1 2023, yang menunjukkan tren peningkatan adopsi kode sumber Babuk,” kata peneliti keamanan SentinelOne Alex Delamotte dalam laporan yang dibagikan kepada The Hacker News.
“Kode sumber yang bocor memungkinkan para pelaku untuk menargetkan sistem Linux ketika mereka mungkin tidak memiliki keahlian untuk membangun program yang berfungsi.”
Sejumlah kelompok kejahatan dunia maya, baik besar maupun kecil, telah mengincar hypervisor ESXi. Terlebih lagi, setidaknya tiga jenis ransomware berbeda – Cylance, Rorschach (alias BabLock), dan RTM Locker – yang muncul sejak awal tahun ini didasarkan pada kode sumber Babuk yang bocor.
Analisis terbaru SentinelOne menunjukkan bahwa fenomena ini lebih umum terjadi, dimana perusahaan keamanan siber mengidentifikasi kode sumber yang tumpang tindih antara loker Babuk dan ESXi yang dikaitkan dengan Conti dan REvil (alias REvix).
Keluarga ransomware lain yang telah mem-porting berbagai fitur dari Babuk ke dalam kodenya masing-masing termasuk ransomware LOCK4, DATAF, Mario, Play, dan Babuk 2023 (alias XVGV).
Terlepas dari tren yang nyata ini, SentinelOne mengatakan bahwa mereka tidak menemukan kesamaan antara loker ESXi Babuk dan ALPHV, Black Basta, Hive, dan LockBit, dan menambahkan bahwa mereka menemukan “sedikit kesamaan” antara ESXiArgs dan Babuk, yang menunjukkan atribusi yang salah.
“Berdasarkan popularitas kode loker ESXi Babuk, para aktor juga dapat beralih ke loker NAS berbasis Go milik grup tersebut,” kata Delamotte. “Golang tetap menjadi pilihan khusus bagi banyak aktor, namun popularitasnya terus meningkat.”
Perkembangan ini terjadi ketika pelaku ancaman yang terkait dengan ransomware Royal, yang diduga merupakan mantan anggota Conti, telah memperluas perangkat serangan mereka dengan varian ELF yang mampu menyerang lingkungan Linux dan ESXi.
“Varian ELF sangat mirip dengan varian Windows, dan sampelnya tidak mengandung kebingungan apa pun,” kata Palo Alto Networks Unit 42 dalam sebuah artikel yang diterbitkan minggu ini. “Semua string, termasuk kunci publik RSA dan catatan tebusan, disimpan sebagai teks biasa.”
Serangan royal ransomware difasilitasi melalui berbagai vektor akses awal seperti callback phishing, infeksi BATLOADER, atau kredensial yang disusupi, yang kemudian disalahgunakan untuk menjatuhkan Cobalt Strike Beacon sebagai pendahulu eksekusi ransomware.
Sejak muncul pada bulan September 2022, ransomware Royal telah mengaku bertanggung jawab untuk menargetkan 157 organisasi di lokasi kebocoran mereka, dengan sebagian besar serangan menargetkan manufaktur, ritel, layanan hukum, pendidikan, konstruksi, dan layanan kesehatan di AS, Kanada, dan Jerman.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
