L'Histoire est un éternel recommencement. Preuve en est avec Babuk, un ransomware poussé par un cybergang éponyme qui avait marqué 2021. A cette époque, ce malware qui ciblait les environnements de machines virtuelles ESXi de VMware, avait été débranché à cause d'une brouille pas banale entre ses concepteurs dont l'un avait alors choisi de publier les clés de chiffrement et son code source. Deux ans plus tard, Babuk refait parler de lui : dans une recherche, la société spécialisée en solutions et services de cybersécurité Sentinel Labs a identifié 10 ransomwares repérés entre le deuxième trimestre 2022 et le premier trimestre 2023 utilisant son code source. 

« Ces variantes montrent une tendance croissante à l'adoption du code source de Babuk », explique Sentinel Labs. « Les fuites de code source permettent aux acteurs de cibler les systèmes Linux alors qu'ils ne disposent pas de l'expertise nécessaire pour créer un programme fonctionnel. Elles compliquent encore davantage l'attribution, car davantage d'acteurs adopteront les outils ». Les ransomwares utilisant du code source Babuk identifiés par l'expert en cybersécurité sont les suivants : Cylance, Dataf Locker, Lock4, Mario, Play, Rorschach, RTM Locker, XVGV, RHKRC - étroitement associé au cryptolocker Revix du groupe REvil ainsi qu'un POC de feu Conti. Selon Sentinel Labs, Mario, Rorschach, XVGV et Conti POC ont déjà été utilisés dans des attaques, sachant que des utilisateurs ont aussi déclaré avoir été victimes de Dataf Locker et de Lock4.

Du code source malveillant à bon compte

Comme le défunt Babuk, ces rançongiciels ciblent aussi les environnements de machines virtuelles ESXi de VMware. Cmme le rappelle l'éditeur, Babuk a été l'un des pionniers dans ce domaine. « La longévité du groupe a été mise à mal en 2021 lorsqu'un développeur de Babuk a divulgué le code source du constructeur de l'ESXi Linux ELF (Executable & Linkable Format) basé sur C++, du NAS (Network Attached Storage) basé sur Golang et de l'outil de ransomware Windows basé sur C++ », souligne la société.

« Les groupes de ransomware ont connu de nombreuses fuites, il est donc plausible que de petites fuites se soient produites au sein de ces cercles. En outre, les acteurs peuvent partager du code pour collaborer, comme dans le cas d'un projet de développement en open source. On constate que les acteurs utilisent de plus en plus le générateur Babuk pour développer des ransomwares ciblant ESXi et Linux. Cette tendance est particulièrement évidente lorsqu'il s'agit d'acteurs disposant de moins de ressources, car ils sont moins susceptibles de modifier de manière significative le code source de Babuk », indique Sentinel Labs.