一
背景概述
近日,安恒信息CERT监测发现,国内多家企业ESXi虚拟化平台遭受勒索病毒攻击,进一步分析发现,近期存在大量Babuk变种勒索软件,针对国内ESXi虚拟化平台进行勒索攻击,我们所捕获攻击事件中所使用的勒索病毒程序,有很大一部分来源于2021年Babuk组织程序所泄露源代码。监测发现攻击者使用历史漏洞CVE-2021-21972批量上传SSH密钥,或通过网络钓鱼获取初始访问权限,进一步投放勒索病毒程序,实施勒索攻击。
黑客论坛上的帖子
二
事件流程
Babuk勒索病毒活动于2021年初,在2021年4月份成功攻击并窃取华盛顿警察局数据,当月宣布停止运营,5月份 Babuk分裂成Ramp和Babuk V2两个组织,7月份Babuk勒索软件的构建器文件被原始创建者泄露,9月份Babuk勒索软件源代码泄露。自此之后,网络犯罪的门槛再度降低。今年以来,国内多家企业ESXi虚拟化平台遭受Babuk变种勒索软件攻击。
Babuk勒索发展时间线
三
样本分析
勒索软件源代码目录
下图为近日安恒信息CERT接到某例客户反馈内网ESXi系统遭受勒索病毒攻击事件,具体表现为企业内网部署的ESXi虚拟化平台遭受攻击,VMware虚拟磁盘等文件后缀被修改为.babyk,同时在同级目录下存在勒索信文件How To Restore Your Files.txt。被加密文件存在较为明显后缀特征”.babyk”
勒索信
Babuk加密逻辑
Babuk源代码加密功能
下图为我们近期捕获Babuk勒索病毒windows变种程序与Babuk勒索病毒源代码对比图。
相同的遍历磁盘逻辑
Babuk源代码与捕获样本
四
总结
近年来,多种恶意程序源代码或构建器被公开泄露,大大降低了网络攻击的门槛,复杂的编程技术在大家面前不再是一道壁垒,针对ESXi虚拟化平台的勒索攻击事件对企业造成无法弥补的损失。未来我们也将面临成倍的网络安全事件。安恒信息CERT再次提醒广大用户,对重要数据及时备份,定期更新安装补丁更新程序,不随意点击下载不明文件。
五
安恒信息CERT
安恒信息应急响应中心(CERT)是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。中心成员由丰富攻防经验的资深安全技术专家组成,联动安恒威胁情报中心,共同针对最新威胁情报主动发现,重大安全漏洞、安全事件进行深度挖掘、分析、溯源,并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。
安恒信息CERT
2022年12月
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...