Les attaques de ransomware contre les systèmes VMware ESXi ont considérablement augmenté ces dernières années. Selon un rapport récent, la fuite du code source du ransomware Babuk en septembre 2021 a donné naissance à de nombreuses familles de ransomwares. Cette adoption rapide du code source a permis à des attaquants novices de créer leurs propres souches de ransomwares sans aucune expertise en matière de développement de logiciels malveillants.

Le rapport de SentinelOne révèle qu'entre S2 2022 et S1 2023, les acteurs de la menace auraient développé au moins neuf souches de ransomware différentes qui ciblent spécifiquement les hôtes ESXi.

Parmi les nouvelles souches de ransomware, au moins trois (Cylance, Rorschach et RTM Locker) ont été développées en utilisant une grande partie du code source de Babuk. Par ailleurs, d'autres familles (DATAF, LOCK4, Mario, Babuk 2023 et Play ransomware) ont adapté différentes caractéristiques du code de Babuk pour leur propre usage.

Le rapport souligne également les similitudes entre le code source de Babuk et les chiffreurs ESXi utilisés par Conti et REvil, ce qui indique l'existence d'un lien entre eux.

Les chercheurs ont remarqué d'autres familles de ransomwares ESXi uniques qui ne sont pas liées à Babuk. Parmi les principales familles de ransomwares, citons ALPHV, Hive, LockBit's ESXi lockers et Black Basta.

Les chercheurs ont également trouvé des similitudes entre ESXiArgs et Babuk, mais elles se limitent à l'utilisation de la même implémentation de chiffrement open-source, Sosemanuk. Les principales fonctions de chiffrement des deux logiciels malveillants sont totalement différentes.

L'affinité croissante à l'égard d'ESXi est une préoccupation de plus en plus grande pour la communauté de la sécurité.