SentinelLabs本周揭露,至少已有10个勒索软件家族利用2021年外泄的Babuk勒索软件代码,以打造可用来攻击VMware ESXi服务器的Linux加密工具。
VMware ESXi为VMware所开发的虚拟机管理程序,它并非是个安装在操作系统上的应用程序,而是一个整合重要操作系统组件,并直接安装于硬件上的Linux产品。 近来它成为Windows平台之外,最受勒索软体骇客青睐的攻击目标,资安业者Check Point指出,这是因为黑客意识到这些奠基于Linux的服务器对机构与组织的重要性。
根据Check Point的调查,过去一年来,全球有1/13的组织都曾遭受勒索软件攻击,此一比例在不同的地区有些差异,例如亚太地区为1/11,欧洲、中东与非洲为1/12,美洲则是1/19。
此外,现身于2021年初的Babuk则是最早锁定VMware ESXi的勒索软件之一,但Babuk团队的其中一名成员在同年9月便于俄罗斯黑客论坛公布了Babuk的代码,也成为VMware ESXi受到大规模攻击的主因之一。
SentinelLabs表示,他们在今年初观察到针对VMware ESXi且基于Babuk的勒索软体愈来愈多,除了原先就锁定Linux平台的骇客之外,那些原本缺乏Linux相关技术的骇客,也在获得Babuk程式码之后,得以锁定VMware ESXi发动攻击。
迄今所发现的、利用Babuk代码打造ESXi加密工具的勒索软件,至少包括Babuk 2023、Play、Mario、Conti、REvil、Cylance、Dataf Locker、BabLock、Lock4与RTM Locker等,SentinelLabs认为,坊间一定有更多采用Babuk代码的勒索软件尚未被发现。
有趣的是,SentinelLabs在分析这些不同的勒索软件时,找到了Babuk、Conti与REvil代码的共通之处,猜测可能这些集团将ESXi加密工具项目外包给同样的开发者,因为在勒索软件的开发圈中,可打造Linux恶意程序的人才相对不足。
