ซอร์สโค้ด Babuk Ransomware หลุด!!! เหล่ากลุ่ม Threat Actor ต่างพากันใช้เพื่อโจมตี VMware ESXi

‍

นักวิจัยด้านความปลอดภัยของ SentinelLabs สังเกตเห็นแนวโน้มที่เพิ่มขึ้นนี้หลังจากตรวจพบแรนซัมแวร์รูปแบบต่างๆ ที่ใช้ Babuk ransomware code 10 ตัว อย่างต่อเนื่องอย่างรวดเร็ว ซึ่งปรากฏขึ้นในช่วงครึ่งหลังของปี 2022 ถึงช่วงครึ่งแรกของปี 2023

Alex Delamotte นักวิจัยด้านภัยคุกคามของ SentinelLabs กล่าวว่า “ มีแนวโน้มที่เห็นได้ชัดเจนว่า กลุ่ม Threat actor ใช้ Babuk builder เพื่อพัฒนา Ransomware ในการโจมตี ESXi และ Linux มากขึ้น โดยเฉพาะอย่างยิ่งเมื่อใช้โดย Threat actor ที่มีทรัพยากรน้อยกว่า เนื่องจาก Threat actor เหล่านี้มีโอกาสน้อยที่จะแก้ไขซอร์สโค้ด Babuk ”

‍

‍^{รายชื่อแรนซัมแวร์ตระกูลใหม่ที่ใช้เพื่อสร้างตัวเข้ารหัส Babuk-base ESXi ใหม่ ตั้งแต่ครึ่งหลังของปี 2022 (และเพิ่มส่วนขยายที่เกี่ยวข้องให้กับไฟล์ที่เข้ารหัส) โดยมีรายชื่อดังนี้}

Babuk 2023 (.XVGV)
Play (.FinDom)
Mario (.emario)
Conti POC (.conti)
REvil aka Revix (.rhkrc)
Cylance Ransomware (.cylance)
Dataf Locker (.dataf)
Rorschach aka Bablock (.slpqne)
Lock4 Ransomware (.lock4)
RTM Locker (per Uptycs)

‍

^สรุป

โค้ดตัวสร้าง Babuk Ransomware ที่หลุดมา ช่วยให้ผู้โจมตีสามารถกำหนดเป้าหมายระบบ Linux ได้ แม้ว่าพวกเขาจะไม่มีความเชี่ยวชาญในการพัฒนาสายพันธุ์แรนซัมแวร์ที่กำหนดเอง ซึ่งการใช้งานโดยตระกูลแรนซัมแวร์อื่น ๆ ยังทำให้มีความท้าทายมากขึ้นในการระบุผู้กระทำความผิดในการโจมตี เนื่องจากการใช้เครื่องมือเดียวกันของหลาย ๆ Threat actor ทำให้ความพยายามในการระบุแหล่งที่มาซับซ้อนขึ้นเป็นอย่างมาก

ปฏิบัติการ Babuk ransomware (หรือที่เรียกว่า Babyk และ Babuk Locker) ปรากฏขึ้นเมื่อต้นปี 2021 โดยกำหนดเป้าหมายธุรกิจด้วยการโจมตีแบบขู่กรรโชกสองครั้ง ซอร์สโค้ดแรนซัมแวร์ของแก๊งนี้รั่วไหลบนฟอรัมแฮ็กของรัสเซียในเดือนกันยายน 2021 ร่วมกับตัวเข้ารหัส VMware ESXi, NAS และ Windows รวมถึงตัวเข้ารหัส และตัวถอดรหัสที่รวบรวมไว้สำหรับเหยื่อของแก๊ง

หลังจากที่โจมตีกรมตำรวจนครบาลของกรุงวอชิงตัน ดี.ซี. (Washington DC's Metropolitan Police Department : MPD) ในเดือนเมษายน 2021 กลุ่มอาชญากรไซเบอร์ก็ดึงดูดความสนใจที่ไม่พึงประสงค์จากหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ และอ้างว่าได้ปิดปฏิบัติการหลังจากเริ่มรู้สึกไม่ดีเกิดขึ้น

สมาชิกของ Babuk แตกแยกกัน โดยผู้ดูแลระบบเปิดตัวฟอรัมอาชญากรรมไซเบอร์ Ramp และสมาชิกหลักคนอื่นๆ ได้เปิดตัวแรนซัมแวร์อีกครั้งในชื่อ Babuk V2

^{อ้างอิงและข้อมูล IOC}

https://www.sentinelone.com/labs/hypervisor-ransomware-multiple-threat-actor-groups-hop-on-leaked-babuk-code-to-build-esxi-lockers/

‍

โมดูล Facebook สำหรับ PrestaShop ถูกใช้เพื่อขโมยข้อมูลบัตรเครดิต

แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน

อาชญากรไซเบอร์ใช้ Stack Overflow ในการแพร่กระจาย Malware

นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว

Google ปล่อยแพตช์แก้ไขช่องโหว่ Zero-Day บน Browser Chrome

Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว

ซอร์สโค้ด Babuk Ransomware หลุด!!! เหล่ากลุ่ม Threat Actor ต่างพากันใช้เพื่อโจมตี VMware ESXi

สรุป

อ้างอิงและข้อมูล IOC

Related Posts

โมดูล Facebook สำหรับ PrestaShop ถูกใช้เพื่อขโมยข้อมูลบัตรเครดิต

อาชญากรไซเบอร์ใช้ Stack Overflow ในการแพร่กระจาย Malware

Google ปล่อยแพตช์แก้ไขช่องโหว่ Zero-Day บน Browser Chrome

^สรุป

^{อ้างอิงและข้อมูล IOC}