2023年ESXi勒索软件激增：Babuk源代码引发黑客狂潮

2021年9月，Babuk（Babk或Babyk）勒索软件源代码泄露，引发了网络犯罪团伙的关注。最新研究表明，多个黑客组织已经利用该源代码，构建了多达9个针对VMware ESXi系统的不同勒索软件家族。

美国安全厂商SentinelOne的研究员Alex Delamotte指出，这些变体自2022年下半年至2023年上半年开始出现，表明黑客对Babuk源代码的利用呈上升趋势。即使缺乏专业知识，黑客借助源代码仍能构建威胁Linux系统的攻击程序。

ESXi管理程序成为许多网络犯罪团伙的瞄准目标。自今年年初以来，已经发现了至少三种不同的勒索软件变种，包括Cylance、Rorschach（又名BabLock）和RTM Locker，它们都以泄露的Babuk源代码为基础。

SentinelOne的最新分析表明，这一现象变得越来越普遍，包括Conti和REvil（又名REvix）在内的黑客团伙也开始利用Babuk源代码开发更多ESXi勒索软件。其他采用Babuk功能的勒索软件家族还包括LOCK4、DATAF、Mario、Play和Babuk 2023（又名XVGV）等。

尽管出现了明显的趋势，SentinelOne公司表示，并没有观察到Babuk与ALPHV、Black Basta、Hive及LockBit的ESXi勒索软件之间存在相似之处。该公司还发现，ESXiArgs和Babuk之间同样“几乎没有相似之处”，表明之前的归因可能有误。

Delamotte解释说：“随着越来越多ESXi勒索软件采用Babuk源代码，黑客们可能会转向该组织基于Go语言开发的NAS勒索软件。尽管在黑客群体中，Go语言目前仍是小众选项，但其接受程度正在不断增加。”

这一趋势起源于Royal勒索软件的幕后团伙（疑似前Conti成员），他们扩展了攻击工具库，将针对Linux和ESXi环境的ELF变体纳入武器储备。

Palo Alto Networks旗下安全部门Unit 42的文章指出：“ELF变体与Windows变体非常相似，样本没有使用任何混淆技术。包括RSA公钥和赎金记录在内的所有字符串，均以明文形式存储。”

Royal勒索软件攻击从各种初始访问向量起步，包括回调钓鱼、BATLOADER感染和窃取凭证等，随后投放Cobalt Strike Beacon以预备执行勒索软件。

自2022年9月出现以来，Royal勒索软件已在其泄露网站上宣称对157家组织的事件负责，其中大多数攻击针对美国、加拿大和德国的制造、零售、法律服务、教育、建筑及医疗服务组织。 

原文始发于微信公众号（紫队安全研究）：2023年ESXi勒索软件激增：Babuk源代码引发黑客狂潮