2023/05/12 SecurityAffairs — 2021年に流出した Babuk ランサムウェアのソースコードをベースにして、VMware ESXi ロッカーを使用する 10件のランサムウェア・ファミリーを、SentinelLabs の研究者たちが特定した。研究者たちが指摘するのは、これらのランサムウェア・ファミリーが、2022年下半期〜2023年上半期に確認されている点である。つまり、Babuk ランサムウェアのソースコードを使用する、脅威アクターが増加していると推測されるという。それらの脅威アクターたちは、流出したソースコードを利用することで、Linux システムを標的としたランサムウェアを、専門知識がなくても作成できるようになると、専門家たちは説明している。
SentinelLabs の研究者たちは、Babuk ランサムウェアのベースライン (Baseline Babuk) を立証するために、オリジナルの Babuk バイナリをコンパイルし、検出された亜種と比較した。
その結果として、研究者たちは Babuk ESXi のソースコードをベースにした、以下の亜種を発見した:
- Babuk 2023 (2023年3月の Bleeping Computer のフォーラムで @malwrhunterteam が取り上げた)
- Play Ransomware に関連するアーティファクトを持つ Play (.FinDom)。
- Ransom House の Mario (.emario)
- Conti POC (.conti)
- REvil aka Revix (.rhkrc)
- Cylance Ransimware (同名のセキュリティ企業とは無関係)
- Dataf Locker
- Rorschach aka BabLock
- Lock4
- RTM Locker (Uptycs)
さらに、Babuk をベースにしたボットである、ALPHV/BlackBasta/Hive/Lockbit などの、独自の ESXi ランサムウェア・ファミリーも存在することを、SentinelOne は指摘している。しかし ESXiArgs と Babuk には、ほぼ類似性がないことが、専門家たちにより明らかになった。それにより、帰属に関する誤った議論が生じていた。
Sentinelone のレポートには、「ときおり、誤って Babuk の名前が挙げられることもあった。2023年2月に実施された ESXiArgs キャンペーン (パッチが適用されていないクラウドサービスを一時的に破壊した) に関するレポートでは、その名を冠したロッカーが、Babuk から派生したものだとされていた。しかし、我々の分析では、ESXiArgs と Babuk の間には、ほぼ類似性がないことが判明した。唯一の類似点は、同じオープンソースの Sosemanuk 暗号化実装が使用されていることだ。その他の主な機能は、以下に示すように、まったく異なっている」と記されている。
SentinelOne のレポートでは、Conti と REvil の ESXi ロッカーが、Babuk ランサムウェアのコードと重複していることが判明した。専門家たちは、Babuk/Conti/REvil における ESXi ロッカーのプロジェクトが、同じ開発者に外注されていたと推測している。ただし、REvil に関しては、仮のものだった可能性が高いという。それらのランサムウェア・オペレーションの間で、小さなリークや、コード共有があったのかもしれない。
このレポートは、「Babuk の ESXi ロッカーに人気が集まったことで、今後の脅威アクターたちは、同グループの Go ベース NAS ロッカーにも目を向けるかもしれない。Golang は、多くのアクターにとってニッチな選択肢であるが、その人気は高まり続けている」と締め括られている。
ランサムウェア・ギャングたちが用いるマルウェアの帰属ですが、それを解明することで対策が進むので、とても重要なことだと思います。しかし、膨大なリソースを投入する、根気のいる作業になるはずなので、SentinelOne には感謝です。おかげで、ESXi ロッカーに関する情報が整理されてきました。よろしければ、Babuk/Conti/REvil で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.