Эксперты по информационной безопасности SentinelOne и Cisco Talos пришли к выводу, что после открытия доступа к исходному коду шифровальщика Babuk в сентябре 2021 года некоторые существующие хакерские группы вооружились им, а также появились новые группы злоумышленников, которые активно на основе этих исходных кодов создают свои собственные вредоносные программы (malware).

Напомним, что семейство вымогателей Babuk имело возможность атаковать не только компьютеры и серверы под управлением операционной системы Windows, но также под угрозой были и Linux-машины. Babuk был обнаружен и исследован ИБ-специалистами в январе 2021 года, когда от его атак пострадало множество компаний по всему миру.

В поле зрения исследователей попали следующие семейства вредоносных программ: Play (.FinDom), Mario (.emario), Conti POC (.conti), REvil или Revix (.rhkrc), Cylance, Dataf Locker, Rorschach или BabLock, Lock4, RTM Locker и RA Group (.GAGUP). Все они используют код Babuk. Большинство этих шифровальщиков ориентированы на атаку систем Linux и VMware ESXi.

Все чаще злоумышленники прибегают к тактике "двойного вымогательства", когда малварь не только шифрует файлы на компьютерах жертвы, но также крадет информацию и угрожает ее раскрытием. Malware атакуют не только все локальные диски на компьютере жертвы, но также сетевые ресурсы, к которым есть доступ. Также распространенной тактикой является периодическое шифрование файлов для сокращения времени на атаку.

Эксперты по IT-безопасности делают осторожные предположения о том, что вектор атак злоумышленников с использованием кода Babuk может быть расширен, и под угрозой атаки окажутся не только системы Windows, Linux и VMware ESXi, но также устройства NAS.