Anfang 2023 beobachtete SentinelLabs, die Forschungsabteilung von SentinelOne, eine Zunahme von VMware ESXi-Ransomware, die auf Babuk (auch bekannt als Babak, Babyk) basiert. Die Babuk-Leaks im September 2021 boten einen beispiellosen Einblick in die Entwicklungsabläufe einer organisierten Ransomware-Gruppe.
Mehrere Gruppen von Bedrohungsakteuren nutzen den geleakten Babuk-Code, um VMware ESXi-Ransomware zu erstellen und Linux-Systeme zu attackieren.
Aufgrund der weiten Verbreitung von ESXi in On-Prem- und hybriden Unternehmensnetzwerken stellen diese Hypervisoren (Software, die virtuelle Maschinen erstellt und ausführt) attraktive Ziele für Ransomware dar. In den vergangenen zwei Jahren haben organisierte Ransomware-Gruppen Linux-Locker übernommen, darunter ALPHV, Black Basta, Conti, Lockbit und REvil. Diese Gruppen konzentrieren sich eher auf ESXi als auf andere Linux-Varianten und nutzen integrierte Tools für den ESXi-Hypervisor, um Gastcomputer zu zerstören und anschließend wichtige Hypervisor-Dateien zu verschlüsseln. Die Sicherheitsforscher haben Überschneidungen zwischen dem durchgesickerten Babuk-Quellcode und ESXi-Lockern festgestellt, die Conti und REvil zugeschrieben werden, wobei die Iterationen der letzteren einander stark ähneln. Der Vergleich mit dem durchgesickerten Quellcode des Conti-Windows-Lockers zeigte gemeinsame, maßgeschneiderte Funktionsnamen und Merkmale auf.
Technischer Hintergrund: Babuk
Babuk war einer der ersten Akteure im Bereich der ESXi-Ransomware. Die Langlebigkeit der Gruppe wurde 2021 gestoppt, als ein Babuk-Entwickler den Quellcode für Babuks C++-basiertes Linux Executable & Linkable Format (ELF) ESXi, Golang-basiertes Network Attached Storage (NAS) und C++-basiertes Windows-Ransomware-Tooling weitergab. Bis Anfang 2022 gab es nur wenige Anzeichen dafür, dass Akteure den durchgesickerten Babuk-Quellcode angepasst hatten, abgesehen von einer kurzlebigen Babuk 2.0-Varianteund gelegentlicher neuer Windows-Ransomware, die gerade in Mode war. Da sich die Forschung im Bereich der Cyberkriminalität häufig auf Windows konzentriert, können sich auf Linux konzentrierte Angriffstechniken unbemerkt entwickeln.
SentinelLabs hat eine nicht gestrippte Babuk-Binärdatei kompiliert, um eine Grundlage für die Untersuchung der Struktur und des Verhaltens zu schaffen. Um zu verstehen, ob die identifizierten Varianten mit Babuk verwandt sind, wurde jede Variante mit dieser Baseline-Babuk-Probe verglichen, was bemerkenswerte Ähnlichkeiten und Unterschiede zum Vorschein brachte:
1. XVGV (Babuk 2023)
XVGV, auch bekannt als Babuk 2023, tauchte im März 2023 im Forum von Bleeping Computer auf. Babuk und XVGV teilen sich den von main.cpp abgeleiteten Code, die Argumentverarbeitungsfunktionen von args.cpp und die Verschlüsselungsimplementierung. Wie Babuk erfordert auch XVGV, dass der Operator ein zu verschlüsselndes Verzeichnis als Argument angibt.
2. Mario
Mario-Ransomware wird von Ransom House betrieben, einer Gruppe, die im Jahr 2021 auftauchte. Ransom House behauptete zunächst, dass sie anfällige Netzwerke angreifen, um Daten zu stehlen, ohne Dateien zu verschlüsseln. Inzwischen hat die Gruppe jedoch kryptografische Schließfächer eingeführt. Die Samples haben eine sehr ähnliche find_files_recursive-Funktion, einschließlich des Standard-Dateinamens der Erpresser-Notiz How To Restore Your Files.txt. Auch die Verschlüsselungsfunktionen sind die gleichen.
3. Conti POC
Überraschenderweise identifizierte die Babuk-Jagd mehrere Binärdateien mit der internen Bezeichnung „Conti POC”, wahrscheinlich eine Abkürzung für „Proof of Concept”, die in einer Kampagne vom September 2022 gegen Unternehmen in Mexiko dokumentiert wurden. Conti war eine gut organisierte und skrupellose Ransomware-Gruppe.
4. REvil alias Revix
Es wurde zudem ein Babuk-ähnliches Sample namens RHKRC identifiziert, das die Erweiterung .rhkrc an Dateinamen anhängt, ein Verhalten, das mit dem „Revix”-ESXi-Spind der REvil-Gruppe in Verbindung gebracht wird. Interessanterweise gehen die Berichte über Revix in freier Wildbahn bis Juni 2021 zurück, also noch vor den Babuk-Quellcode-Leaks vom September 2021.
Fazit
Die Analyse hat unerwartete Verbindungen zwischen ESXi-Ransomware-Familien und wahrscheinliche Beziehungen zwischen Babuk und bekannteren Operationen wie Conti und REvil aufgedeckt. Auch wenn die Verbindungen zu REvil noch unklar sind, besteht die Möglichkeit, dass diese Gruppen – Babuk, Conti und REvil – ein ESXi Locker-Projekt an denselben Entwickler ausgelagert haben. Der Talentpool für Linux-Malware-Entwickler ist in Ransomware-Entwicklerkreisen sicherlich viel kleiner, da diese sich in der Vergangenheit nachweislich auf Windows-Malware fokussierten. Ransomware-Gruppen haben zahlreiche Sicherheitslücken entdeckt und vermutlich tauschen die Akteure Code aus, um zusammenzuarbeiten.
Es ist ein deutlicher Trend zu erkennen, dass Akteure zunehmend den Babuk-Builder für die Entwicklung von ESXi- und Linux-Ransomware verwenden. Dies wird besonders deutlich, wenn er von Akteuren mit weniger Ressourcen verwendet wird, da diese Akteure den Babuk-Quellcode wahrscheinlich nicht so stark verändern werden. Aufgrund der Beliebtheit des ESXi-Schließfachcodes von Babuk könnten sich die Akteure auch dem Go-basierten NAS-Schließfach der Gruppe zuwenden. Golang ist nach wie vor eine Nischenlösung für viele Angreifer, erfreut sich aber immer größerer Beliebtheit. Die anvisierten NAS-Systeme basieren ebenfalls auf Linux. Während der NAS-Locker weniger komplex ist, ist der Code klar und lesbar, was Ransomware für Entwickler, die mit Go oder ähnlichen Programmiersprachen vertraut sind, leichter zugänglich machen könnte.
Weitere Informationen über diese Untersuchung von SentinelLabs finden Sie hier.
www.sentinelone.com