Смертельно больной хакер и его знаменитый шифровальщик начали атаковать системы на Linux. Атаки по силам даже дилетантам
Код пошел в народ
Сразу девять шифровальных группировок используют в своих атаках исходный код печально знаменитого вредоноса Babuk.
Babuk, также известный как Babyk и Babuk Locker, — это шифровальщик, пик активности которого пришелся на начало 2021 г. Операторы Babuk атаковали исключительно корпоративные системы и требовали двойной выкуп — за расшифровку данных и за сохранение конфиденциальности украденной информации.
В апреле 2021 г. Babuk атаковали главное полицейское управление Вашингтона, чем привлекли к себе повышенное внимание правоохранительных органов США. Настолько пристальное, что группировка объявила о свертывании всей деятельности.
Впрочем, в итоге группировка разделилась, и один из бывших администраторов запустил киберкриминальный форум Ramp, а остальные участники группировки перезапустили вредонос под названием Babuk V2.
Фото: © maxxyustas / Фотобанк Фотодженика Утекшие исходники шифровальщика Babuk используются для атак на Linux-системы
В сентябре 2021 г. исходный код Babuk «утек» на русскоязычный хакерский форум. Кроме него, были выложены шифровальные модули к Babuk для VMware ESXi, Windows и сетевым накопителям, а также шифровальщики и декрипторы, написанные специально под конкретные цели (атаки Babuk в значительной степени производились вручную).
Тогда же, в сентябре 2021 г. CNews писал, что группа исследователей vx-underground обнаружила на одном из русскоязычных хакерских форумов сообщение, предположительно от одного из операторов шифровальщика, в котором тот пишет о своей тяжелой болезни и сообщает, что жить ему «уже недолго», и что он хочет успеть «пожить как человек».
В соцсети vx-underground указывалось, что автору сообщения 17 лет, и что у него финальная стадия рака легких.
И вот теперь эксперты по безопасности отмечают, что сразу несколько шифровальных группировок стали все более активно использовать шифровальные модули Babuk для серверов ESXi в своих атаках.
Не можешь написать сам, возьми чужой код
По данным компании SentinelLabs, между второй половиной 2022 г. и настоящим временем появились как минимум девять новых шифровальщиков на базе кода Babuk, которые в основном нацелены на серверы ESXi и Linux-системы.
6 причин выбирать сервер российского «белого» производства Техника
«Наблюдается отчетливая тенденция: киберзлоумышленники все чаще используют компилятор Babuk для создания шифровальщиков под ESXi и Linux. Это особенно заметно в случае с группировками, обладающими меньшим количеством ресурсов: они с меньшей вероятностью будут модифицировать исходники Babuk в сколько-нибудь существенной степени», — указывается в публикации SentinelLabs.
Со второй половины 2022 г. шифровальными модулями Babuk под ESXi пополнились шифровальщики Play, Mario, ContiPOC, REvil/Revix, Cylance, DatafLocker, Rorschach/BabLock, Lock4 и RTM Locker.
В целом эти модули позволили операторам шифровальщиков атаковать системы под Linux, даже если у них самих не хватало потенциала и ресурсов на создание собственных средств шифрования.
«В целом, атаковать системы под Linux или ESXi значительно сложнее, чем под Windows, поэтому прежде на этом специализировались только самые сильные в техническом плане кибергруппировки, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Код Babuk открывает возможность для таких атак всем или почти всем подряд. Это обычная история: став общедоступным, эффективный код будет использоваться всеми, для кого он актуален».
Foresight Day’2023: импортозамещение продолжается Импортонезависимость
Эксперты также озабочены тем, что теперь определить происхождение атак будет намного сложнее.
Впрочем, шифровальщиков, нацеленных на корпоративные виртуальные среды, и без того хватает с избытком: Royal Ransomware, Nevada Ransomware, GwisinLocker ransomware, Luna ransomware, RedAlert Ransomware, BlackBasta, LockBit, BlackMatter, AvosLocker, HelloKitty, REvil, RansomEXX и Hive — все они вполне успешно шифруют виртуальные и физические Linux-системы.