网络犯罪门槛再度降低，Babuk勒索病毒死灰复燃

一

背景概述

近日，安恒信息CERT监测发现，国内多家企业ESXi虚拟化平台遭受勒索病毒攻击，进一步分析发现，近期存在大量Babuk变种勒索软件，针对国内ESXi虚拟化平台进行勒索攻击，我们所捕获攻击事件中所使用的勒索病毒程序，有很大一部分来源于2021年Babuk组织程序所泄露源代码。监测发现攻击者使用历史漏洞CVE-2021-21972批量上传SSH密钥，或通过网络钓鱼获取初始访问权限，进一步投放勒索病毒程序，实施勒索攻击。

Babuk勒索病毒最初活动于2021年初，主要从企业窃取和加密数据。在其成功攻击华盛顿警察局并窃取250G数据之后，该勒索软件运营商停止运营。但在此之后，Babuk分裂成Ramp和Babuk V2两个组织，这两个组织也因为积蓄的矛盾不时互相攻击。在同年9月份时，一名自称是Babuk组织成员的人在某个俄语黑客论坛上发布了Babuk勒索软件的完整源代码。该名成员自称身患晚期癌症，在决定“像人一样活着”的情况下公开了源代码，其中就包含了针对ESXi实施勒索的完整Visual Studio项目。

黑客论坛上的帖子

二

事件流程

Babuk勒索病毒活动于2021年初，在2021年4月份成功攻击并窃取华盛顿警察局数据，当月宣布停止运营，5月份 Babuk分裂成Ramp和Babuk V2两个组织，7月份Babuk勒索软件的构建器文件被原始创建者泄露，9月份Babuk勒索软件源代码泄露。自此之后，网络犯罪的门槛再度降低。今年以来，国内多家企业ESXi虚拟化平台遭受Babuk变种勒索软件攻击。

Babuk勒索发展时间线

三

样本分析

9月份泄露的Babuk勒索软件目录结构如下，其中包括用于 VMware ESXi、NAS 和 Windows 的各种 Visual Studio Babuk 项目。我们注意到其中包含了可构建用于加密ESXi虚拟化平台的完整Visual Studio项目，这部分内容与我们近期所捕获针对国内ESXi虚拟化平台攻击事件所使用勒索病毒程序代码高度一致。

勒索软件源代码目录

下图为近日安恒信息CERT接到某例客户反馈内网ESXi系统遭受勒索病毒攻击事件，具体表现为企业内网部署的ESXi虚拟化平台遭受攻击，VMware虚拟磁盘等文件后缀被修改为.babyk，同时在同级目录下存在勒索信文件How To Restore Your Files.txt。被加密文件存在较为明显后缀特征”.babyk”

加密文件截图

勒索信内容如下：

勒索信

下面为近期我们捕获针对国内某企业ESXi虚拟化平台进行加密的病毒样本，样本查找".log"、".vmdk"、".vmem"、".vswp"、".vmsn"后缀文件进行加密，与Babuk泄露源代码中用于加密ESXi的代码逻辑一致。

Babuk加密逻辑

程序主函数逻辑一致

Babuk主流程

使用ECDH+Sosemanuk算法完成加密，与9月份泄露Babuk源代码完全相同。

Babuk源代码加密功能

下图为我们近期捕获Babuk勒索病毒windows变种程序与Babuk勒索病毒源代码对比图。

Babuk源代码与捕获样本

相同的遍历磁盘逻辑

Babuk源代码与捕获样本

勒索病毒执行期间要关闭的服务和进程如下

要关闭的服务和进程

四

总结

近年来，多种恶意程序源代码或构建器被公开泄露，大大降低了网络攻击的门槛，复杂的编程技术在大家面前不再是一道壁垒，针对ESXi虚拟化平台的勒索攻击事件对企业造成无法弥补的损失。未来我们也将面临成倍的网络安全事件。安恒信息CERT再次提醒广大用户，对重要数据及时备份，定期更新安装补丁更新程序，不随意点击下载不明文件。

五

安恒信息CERT

安恒信息应急响应中心（CERT）是专注于对全网重要网络安全漏洞、安全事件等威胁情报进行实时主动发现、快速预警、联动响应的安全应急协调中心。中心成员由丰富攻防经验的资深安全技术专家组成，联动安恒威胁情报中心，共同针对最新威胁情报主动发现，重大安全漏洞、安全事件进行深度挖掘、分析、溯源，并结合自主研发的网络空间测绘系统-「全球网络空间超级雷达」梳理全网受影响程度。

安恒信息CERT

2022年12月