Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
SentinelOne warnt vor einer Zunahme von Angriffen auf VMWare ESXi
26. Mai 2023. TuxCare PR Team
SentinelOne warnt vor einer zunehmenden Anzahl neuer Ransomware-Familien, die ausschließlich für VMware ESXi-Systeme entwickelt wurden. Diese gefährlichen Anwendungen basieren auf dem kursierenden Babuk-Quellcode.
Die Babuk-Ransomware-Familie, die erstmals im Januar 2021 entdeckt wurde, erlangte durch ihre Angriffe auf mehrere Unternehmen schnell große Bekanntheit. Einer der Betreiber der Malware stellte jedoch im September 2021 den Quellcode der Malware online. Dieser Bruch erwies sich als entscheidend und ermöglichte es Sicherheitsforschern, in weniger als zwei Monaten ein kostenloses Entschlüsselungstool zu erstellen.
Bedrohungsakteure haben den veröffentlichten Quellcode genutzt, um eine Reihe neuer Ransomware-Stämme zu entwickeln. Dazu gehören RTM Locker, Rook und Rorschach (auch bekannt als BabLock), die alle in der Lage sind, ESXi-Server unter Windows und Linux anzugreifen.
Laut SentinelOne haben sich im letzten Jahr mindestens zehn einzigartige Ransomware-Familien gebildet, die den Babuk-Quellcode nutzen, um insbesondere VMware ESXi-Maschinen anzugreifen. Darüber hinaus wurde der Code von kleineren Ransomware-Unternehmen wie House's Mario, Play, Cylance, Dataf Locker, Lock4 und XVGV übernommen. Besorgniserregend ist, dass bekannte Ransomware-Banden wie Alphv/BlackCat, Black Basta, Conti, Lockbit und REvil entdeckt wurden, die ihre Angriffe auf ESXi-Installationen richten.
SentinelOne erklärte weiter, dass nur die ESXi-Locker von Conti und REvil Überschneidungen mit dem durchgesickerten Babuk-Code aufweisen. Dies zeigt eine mögliche Verbindung zwischen den beiden Gruppen. Nach Angaben des Cybersecurity-Unternehmens könnten diese Ransomware-Aktivitäten ein ESXi-Locker-Projekt an einen gemeinsamen Entwickler ausgelagert oder gemeinsamen Code für die Zusammenarbeit verwendet haben. Abgesehen von der Verwendung der gleichen Open-Source-Verschlüsselungstechnologie Sosemanuk hat ESXiArgs Locker wenig Ähnlichkeiten mit Babuk.
Laut SentinelOne verwenden Bedrohungsakteure zunehmend den Babuk-Code als Grundlage für die Erstellung von ESXi- und Linux-Lockern. Darüber hinaus warnt das Unternehmen, dass Angreifer in Zukunft den Go-basierten NAS-Locker der Babuk-Gruppe übernehmen könnten, da Golang, die für den NAS-Locker verwendete Programmiersprache, unter Bedrohungsakteuren immer beliebter wird. Da die anvisierten NAS-Systeme meist Linux-basiert sind, könnte die Verwendung des NAS-Lockers Angreifern ein einfaches und effektives Werkzeug für Ransomware-Angriffe in die Hand geben.
Die Folgen dieser Angriffe gehen jedoch über ESXi-Installationen hinaus, da die Zusammenarbeit und der Code-Austausch zwischen verschiedenen Ransomware-Organisationen die zunehmenden Strategien verdeutlichen, die Hacker auf der Suche nach finanziellen Gewinnen einsetzen.
Die Quellen für diesen Artikel sind unter anderem ein Artikel in der SecurityWeek.
