- Từ tháng 09/2021, nhiều đối tượng tấn công đã lợi dụng sự rò rỉ ransomware Babuk (còn được biết đến là Babak hoặc Babyk) để tạo ra 9 loại ransomware khác nhau, có khả năng tấn công vào các máy chủ VNware ESXi.

Theo các nhà nghiên cứu, biến thể này xuất hiện từ năm 2022 cho thấy xu hướng sử dụng mã nguồn Babyk ngày càng tăng. Mã nguồn bị rò rỉ của Babyk cho phép đối tượng tấn công vào hệ thống của Linux ngay cả khi chúng không có khả năng tự phát triển các chủng ransomware của riêng mình.

Một số đối tượng tấn công nhằm vào các máy ảo VMware ESXi, đã có ít nhất 3 chủng ransomware khác nhau là Cylance, Rorschach (hay còn được biết là BabLock) và RTM Locker – đã xuất hiện kể từ đầu năm 2023 dựa trên mã nguồn Babuk bị rò rỉ.

Các nhà nghiên cứu bảo mật đã phát hiện ra mã nguồn trùng khớp giữa bộ khóa của Babuk và ESXi được quy trách nhiệm cho 2 nhóm APT là Conti và Revil. Các dòng ransomware khác đã chuyển các tính năng từ Babuk sang mã tương ứng của chúng bao gồm LOCK4, DATAF, Mario, Play và Babuk 2023 (hay còn được biết đến là XVGV) ransomware.

Các cuộc tấn công có xu hướng kết hợp ransomware Royal do cựu thành viên nhóm Conti tạo ra, để mở rộng bộ công cụ tấn công bằng biến thể ELF nhằm vào hệ thống ESXi và Linux. Kể từ khi xuất hiện vào tháng 09/2022, ransomware Royal đã nhằm mục tiêu vào hơn 157 tổ chức ở Hoa Kỳ, Canada và Đức.

Các cuộc tấn công bằng ransomware Royal bắt nguồn từ các cuộc gọi lừa đảo, lây nhiễm BATLOADER hoặc thông tin đăng nhập bị xâm phạm, sau đó bị lạm dụng để cài cắm Cobalt Strike Beacon nhằm thực thi ransomware.

Để đảm bảo an toàn thông tin cho hệ thống của các cơ quan, tổ chức, doanh nghiệp nên thực hiện kiểm tra, rà soát thường xuyên, sẵn sàng các phương án xử lý để tránh các nguy cơ bị tấn công mạng.

PV