Au moins 9 ransomwares s’appuient sur le code source Babuk pour chiffrer VMware ESXi
De nombreux gangs de cybercriminels s'appuient sur le code source du ransomware Babuk pour créer leur propre version et s'attaquer aux serveurs VMware ESXi. Une menace qui n'est pas nouvelle, mais qui s'intensifie avec le temps.
Le ransomware Babuk n'est plus en circulation depuis 2021, et son code source avait même fuité en septembre 2021 suite à une embrouille en interne entre certains membres de l'équipe. Même si aujourd'hui le ransomware Babuk n'existe plus officiellement, le code source est utilisé par plusieurs groupes de cybercriminels... En effet, cette tendance a été observée par les chercheurs en sécurité de chez Sentinel One qui ont repéré 9 ransomwares basés sur le code source de Babuk, entre le second semestre 2022 et le premier semestre 2023.
Grâce au code source de Babuk, les pirates disposent d'une très bonne base pour créer un ransomware avec un module de chiffrement compatible Linux et VMware ESXi, même s'ils n'ont pas une grande expertise technique sur ces systèmes. Lorsqu'il s'agit d'un groupe sans beaucoup de ressources, il est très facile de détecter la réutilisation du code source de Babuk. Dans son rapport, Sentinel One précise : "Ceci est particulièrement évident lorsqu'il est utilisé par des acteurs disposant de moins de ressources, car ces acteurs sont moins susceptibles de modifier de manière significative le code source de Babuk."
D'ailleurs, voici la liste des groupes de cybercriminels qui utilisent un ransomware basé sur Babuk :
- Play (fichiers chiffrées en .FinDom),
- Mario (fichiers chiffrées en .emario),
- Conti POC (fichiers chiffrées en .conti),
- REvil alias Revix (fichiers chiffrées en .rhkrc),
- Cylance Ransomware,
- Dataf Locker,
- Rorschach alias BabLock,
- Lock4,
- RTM Locker
Cette liste de ransomwares basés sur Babuk s'ajoute à la longue liste de ransomwares qui s'attaquent aux hyperviseurs sous VMware ESXi. Ce type de rapport de sécurité est là pour nous rappeler la présence constante de cette menace : ce qui n'est pas étonnant, car avec la compromission d'un seul serveur, l'attaquant peut chiffrer X machines virtuelles et avoir un impact fort sur le SI de l'entreprise.